Malware yang menyebar luas melalui internet dan perangkat lain seperti flash disk saat ini tidak lagi merupakan aplikasi yang sekali muncul lalu mati. Malware juga ber-regenerasi dengan selalu muncul dalam bentuk dan varian baru dalam bentuk yang lebih kuat, lebih canggih. TDSS botnet, adalah salah satunya. TDSS botnet kini muncul dengan varian terbaru yaitu varian generasi ke 4, yang lebih berbahaya, dan lebih canggih.
TDSS atau juga dikenal dengan TDSS/TDL, atau Win32/Olmarik, menginfeksi komputer dan kemudian menerima perintah dari sebuah C& C server. Proses selanjutnya Win32/Olmarik. AVA zombies saling bekromunikasi dengan menggunakan Kademilia DHT (distributed hash table) peer-to-peer protocol. Dengan pola ini, masing-masing berperan sebagai C & C Server dan Client.
Bagaimana kerja masing-masing komponen tersebut, David Harley, Director of Malware Intelligence, ESET memaparkannya sebagai berikut.
Ketika sebuah PC terinfeksi oleh bot, komputer tersebut secara otomatis akan menjadi bagian dari jaringan bersama dengan komputer-komputer lain yang juga telah terinfeksi dan terkoneksi dengan C & C Server yang kita kenal sebagai botnet. Kemudian, pelaku kejahatan yang mengelola botnet tersebut perlu mengirimkan instruksi-instruksi ke malware di masing-masing komputer yang telah terinfeksi tersebut (zombie). Tentu saja ada kalanya komunikasi yang dilakukan terhambat atau gagal tergantung dari botnet yang digunakan. Jika komunikasi yang dikirimkan dalam bentuk instruksi tersebut berhasil maka akan mengirimkan data yang diinginkan oleh ke “botmaster”. Salah satu cara yang umum digunakan dalam komunikasi dua arah pada botnet adalah dengan men-setting beberapa komputer yang akan berperan sebagai “Command & Control” (C&C) server: server ini adalah versi jahat dari client/server model, dimana satu server akan melayani banyak komputer klien.
Melemahkan jaringan botnet bisa dilakukan salah satunya dengan melacak dan mematikan beberapa atau seluruh server C&C yang mengirimkan informasi ke komputer zombie yang telah terinfeksi dan memberikan instruksi yang harus dilakukan, kemudian jika server tersebut dimatikan, komputer zombie yang terkoneksi ke komputer server tidak lagi bisa berfungsi mengirimkan data atau melakukan seperti yang diinstruksikan oleh botmaster.
Dengan menggunakan Kademilia protocol, botmaster akan mampu meyatukan kelemahan dari pendekatan C & C, kemudian dengan menggunakan pendekatan kesamaan diantara masing masing komputer sebagai C & C server maupun zombie atau client yang telah terinfeksi. Semua botnet menggunakan perverted form of distributed processing, tetapi pendekatan yang digunakan TDL4 atau Win32/Olmarik tersebut yaitu dengan manggunakan Kademilia protocol bisa melakukan distribusi data secara lebih baik.
Setelah menguasai sebuah jaringan dengan beberapa komputer berikut semua informasi yang dimiliki, lalu informasi yang berhasil dicuri akan disebar ke komputer dalam jaringan. Botnet tidak begitu saja berhenti bekerja meskipun hanya tinggal satu komputer sementara komputer yang lainnya dalam jaringan botnet tersebut mati. Zombie masih bisa mendapatkan informasi dari jaringan lain yang terdekat, proses tersebut masih bisa dilakukan karena bot masih menyimpan semacam virtual phonebook yang disembunyikannya di hard disk. Saat bagi bot untuk berkomunikasi dengan C&C server adalah ketika jumlah komputer dalam jaringan turun hingga dibawah 10.
Maraknya infeksi botnet yang menyerang komputer, bahkan juga komputer jaringan menimbulkan dampak kerugian bagi user. Mengomentari kondisi demikian, Yudhi Kukuh, Technical Director dari PT. Prosperita-ESET Indonesia menyampaikan “menghalau TDSS/TDL, dengan segala macam jebakannya untuk menginfeksi system 32bit ataupun 64bit ataupun mengalahkan botnet bukan pekerjaan mudah. Oleh sebab itu, para user baik home user maupun jaringan perlu memiliki kesadaran untuk mengaktifkan, mengupdate secara berkala security system dalam komputer maupun server jaringan”