האם התגלה "וירוס בלתי ניתן לעצירה"?

מפחדים מכך שהמחשב שלכם יידבק בוירוסים? עכשיו יש לכם סיבה נוספת לחשוש, ושמה הוא TDL-4. דו"ח אותו פרסמה בשבוע שעבר חברת האבטחה קספרסקי מצביע על פעילות חריגה של וירוס חדש, שלא רק יודע להסתתר טוב יותר מאחרים, אלא גם קשה מאוד להסרה ומציג חידושים שטרם נראו בעולם התוכנות המזיקות. אה, והוא גם פועל כאנטיוירוס. מבולבלים? תיכף נסביר.

TDL-4 שלו, הצליח להדביק בחודשים האחרונים יותר מ-4 מיליוני מחשבים. זה נעשה בעיקר באמצעות שתילתו באתרים "מפוקפקים" – אתרים המתעסקים בחומרים לא חוקיים, כמו גם אתרי סקס. בו בזמן, מנסים הפורצים כל עת להדביק בוירוס הזה גם אתרים גדולים ומוכרים, על מנת שאלה יפיצו אותו לגולשיהם.

כאשר המשתמש רק נכנס לאתר, הוירוס מנסה להתקין את עצמו על המחשב. כמו במקרים רבים בזמן האחרון, מפתחי הוירוס מוכנים לשלם לאנשים על הפצתו. אתרים מיוחדים שהוקמו לשם כך מציעים 20-200 דולרים על כל אלף התקנות, בהתאם למדינה בה נמצאים המחשבים שהודבקו. עד כה, 28 אחוזים מהמחשבים שהודבקו הם בארצות הברית.

אך אם בעבר המטרה של היוצרים הייתה, בסופו של יום, למכור את רשת המחשבים שהודבקו, במקרה של TDL-4 הם עלו על מודל חדש-למדי, שכמעט ולא נראה עד כה: וירוס כשירות. מספר שירותים, למעשה.

כיוון שהמחשבים שהודבקו ניתנים, בעצם, לשליטה מרחוק, מוכנים אנשי TDL להשכיר את השימוש במחשבים אלה. רוצים לתקוף אתר של מתחרה? אין בעיה. רוצים לגרום למחשבים להפיץ ספאם? גם אפשר, אך זה יעלה לכם לא מעט כסף. ושוב, מדובר רק בהשכרה, לא בקניה של הרשת.

רכיב נוסף אותו מתקין הוירוס הזה מאפשר לגשת באמצעות מחשב שהודבק לאינטרנט, ולכן הם התחילו למכור גם ערכות לגישה אנונימית, במחיר של כ-100 דולרים בחודש. נכון, יש שירותים הרבה יותר זולים לגלישה אנונימית, אך כאן אפשר להיות בטוחים שאף אחד לא יגיש צו משפטי לחשיפת פרטי המשתמש.

בו בזמן, כדי לא למשוך תשומת לב לעצמו, מתפקד TDL-4 כאנטיוירוס. ההיגון מאחורי זה פשוט: הוא בעצמו אולי מתוחכם מספיק כדי למנוע זיהוי, אבל וירוסים אחרים לא, והמשתמש עשוי לחשוד שמשהו לא כשורה אם הוא יגלה את אחד מאותם הוירוסים האחרים. לכן, מתוכנת TDL להסיר כמה עשרות וירוסים פופולריים.

הקושי העיקרי ב-TDL4 מבחינת אנשי אבטחת מידע, הוא שמדובר בוירוס שקשה מאוד לעצירה. לא רק שהוא מתחבא היטב – ואף מכניס את עצמו לתוך MBR, האזור ש"מתעורר" לפני מערכת הפעלה, ובכך מקשה על הסרתו – אלא שהוא גם יודע להשתמש ברשת שיתוף קבצים פתוחה.

מדובר בהתפתחות חשובה מאוד בעולם הוירוסים. אם בעבר אלה הושתתו על דרכי תקשורת סגורות כדי להתעדכן ולקבל הוראות הפעלה – וחברות אבטחה יכלו לחסום את הדרכים האלה או לפגוע בהן – TDL-4 ניגש לרשת שיתוף קבצים פתוחה ששמה KAD, ומחפש גם בה הוראות פעולה.

בקספרסקי קוראים לו כבר עכשיו "רשת בלתי ניתנת לעצירה", ומזהירים כי הם מזהים ניסיונות לפתח את TDL-4 עוד יותר, ולעדכן אותו כך שיהיה יעיל יותר ובעייתי יותר להסרה. בו בזמן, חייבים לציין כי בחברות אבטחה אחרות, מנסים להרגיע, וטוענים שההיסטוריה עד כה הראתה שאין וירוסים אותם לא ניתן לעצור.

דוגמה טובה לכך היא Conficker – וירוס שעלה לכותרות לפני שנתיים בזכות קצב ההדבקה הגבוה שלו, ושיתוף הפעולה בין חברות אבטחת המחשוב בניסיון לעצור אותו. קונפיקר, יש לציין, מעולם לא הופעל בצורה מאסיבית, יום הפקודה בו עשרות מיליוני המחשבים המודבקים היו אמורים לעשות משהו מעולם לא הגיע.

נציין כי קספרסקי כבר יצרו כלים להסרת TDL-4.