TDL-4, una botnet que podría ser indestructible

La empresa de seguridad Kaspersky ha estudiado la cuarta generación de una botnet, TDL, que asegura que establecer comunicaciones cifradas y se convierte en un antivirus para impedir su detección.

Ha sido un investigador de la empresa de seguridad Kaspersky quien ha dicho que la botnet TDL-4 podría ser “indestructible”. Como muestra decir que el nombre, TDL-4, no hace sino demostrar que es la cuarta generación de la botnet, que se ha estado alterando en los últimos años. Según Kaspersky, TDL-4 es un ejemplo de cómo los creadores de malware han mejorado drásticamente la botnet respecto a sus predecesores.

“Los escritores de malware han extendido la funcionalidad de la programación, cambiando los algoritmos utilizados para cifrar los protocolos de comunicación entre los bots y los servidores de comando y control de la botnet, e intentando asegurarse de que tienen acceso a los ordenadores infectados incluso en los casos en los que los centros de control de la botnet están cerrados”, escribía Kaspersky en su blog SecureList. Esencialmente, los propietarios de TDL están intentando crear una botnet ‘indestructible’ que esté protegida contra ataques, competidores y compañías antivirus”, afirmaba la compañía de seguridad.

Clave en los algoritmos de TDL-4 es un algoritmo mejorado que cifra las comunicaciones entre los ordenadores infectados y las órdenes de la botnet. Una vez que la conexión entre el comando y el ordenador está activado, las órdenes son transmitidas a través de una conexión HTTPS, lo que impide que cualquiera tome el control.

Para impedir que la eliminen, TDL-4 infecta el ordenador de forma que la botnet arranca antes que el propio sistema operativo y se mantiene alejado de los programas antimalware. Es más, la botnet elimina otros archivos maliciosos que podrían ser detectados por herramientas de seguridad para poder mantenerse en los ordenadores de los usuarios.