TDSS приобрел механизм самораспространения

image

Теги: TDSS, Лаборатория Касперского, червь

Согласно отчету Лаборатории Касперского, новый функционал TDSS делает этот червь еще более опасным.

Сотрудник "Лаборатории Касперского" Сергей Голованов сообщает в блоге о том, что новая версия руткита TDSS, также известного как Alureon и TDL4, способна инфицировать новые системы при помощи нескольких способов.

Первый способ состоит в заражении съемных дисков специальным файлом, который будет запускаться каждый раз при подключении устройства к компьютеру. Этот способ был популярен в течение многих лет и использовался червями, включая Conficker. Нет ничего необычного в том, что TDSS использует данный способ.

Второй способ заключается в распространении вируса через локальные сети. Руткит создает ложный DHCP-сервер и ожидает, пока одна из машин осуществит запрос на получение IP адреса. При получении запроса, приложение отправляет компьютеру действительный IP-адрес и IP-адрес контролируемого злоумышленниками DNS сервера. Затем, DNS-сервер перенаправляет пользователя на вредоносный сайт.

«После этих действий, при попытке посетить какой-либо Web сайт, пользователь перенаправляется на вредоносный сайт, где ему предлагается обновить версию браузера», как сообщает Голованов. «Пользователь не сможет зайти на страницу, пока не согласится установить «обновление»".

В конце прошлого года TDSS приобрел способность инфицировать 64-разрядные версии Microsoft Windows, минуя политику подписи кода на уровне ядра ОС. По оценкам экспертов компании Prevx, на сегодняшний день TDSS является одним из самых опасных руткитов. Он используется в качестве «бэкдора» для установки и обновления кейлогеров и других типов вредоносного ПО на зараженном компьютере и не обнаруживается большинством антивирусов.
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus