TDSS приобрел механизм самораспространения

image

Теги: TDSS, Лаборатория Касперского, червь

Согласно отчету Лаборатории Касперского, новый функционал TDSS делает этот червь еще более опасным.

Сотрудник "Лаборатории Касперского" Сергей Голованов сообщает в блоге о том, что новая версия руткита TDSS, также известного как Alureon и TDL4, способна инфицировать новые системы при помощи нескольких способов.

Первый способ состоит в заражении съемных дисков специальным файлом, который будет запускаться каждый раз при подключении устройства к компьютеру. Этот способ был популярен в течение многих лет и использовался червями, включая Conficker. Нет ничего необычного в том, что TDSS использует данный способ.

Второй способ заключается в распространении вируса через локальные сети. Руткит создает ложный DHCP-сервер и ожидает, пока одна из машин осуществит запрос на получение IP адреса. При получении запроса, приложение отправляет компьютеру действительный IP-адрес и IP-адрес контролируемого злоумышленниками DNS сервера. Затем, DNS-сервер перенаправляет пользователя на вредоносный сайт.

«После этих действий, при попытке посетить какой-либо Web сайт, пользователь перенаправляется на вредоносный сайт, где ему предлагается обновить версию браузера», как сообщает Голованов. «Пользователь не сможет зайти на страницу, пока не согласится установить «обновление»".

В конце прошлого года TDSS приобрел способность инфицировать 64-разрядные версии Microsoft Windows, минуя политику подписи кода на уровне ядра ОС. По оценкам экспертов компании Prevx, на сегодняшний день TDSS является одним из самых опасных руткитов. Он используется в качестве «бэкдора» для установки и обновления кейлогеров и других типов вредоносного ПО на зараженном компьютере и не обнаруживается большинством антивирусов.

или введите имя

CAPTCHA
Гость
06-06-2011 17:10:19
и не обнаруживается большинством антивирусов.Интересно, когда антивирусные компании наконец поймут, что проверять машину нужно с "чистой" загрузки, а не пытаться лечить больную систему методом самолечения.
0 |
anonymous
06-06-2011 17:48:29
Мне кажется что программо-писатели должны менять провайдера (аки ОС, на которой хотят профит от своих поделок)
0 |
123
06-06-2011 18:46:54
Если кажется, креститься надоть. 05655
0 |
=^_^=
07-06-2011 02:16:39
пытаться лечить больную систему методом самолечения. Расформулируйте plz , особенно слово "самолечения" ^_^. А то напоминает статью посвященную борьбе с народными целителями. Под чистой загрузкой наверное понимается загрузка с LiveCD, или любой другой операционки? Так вот, скажу я вам, довольно часто приходится сталкиваться с протрояненными машинами, но LiveCD долеко не всегда приходится использовать, разве что в случае невозможности запуска тулз,по причине сшибания их вируснёй, ну или совсем банального гей-порно-информера, т.к нет возможности к запуску чего либо. А, в большинстве случаев всё сводится к снятию процесса(ов), чисткой реестра, удалением файлов/сервисов/драйверов. Перезагрузкой и повторной проверкой остатков фарша.
0 |
Гость
07-06-2011 13:03:17
Руткит на то и руткит, чтобы штатными средсвами системы не обнаруживался. Для их эффективного обнаружения AV используют неочевидные механизмы, которые в очередной версии руткита успешно обходятся. В отличие от сигнатур отработка обнаружения нового руткита на зараженной системе занимает много больше времени.
0 |
=^_^=
08-06-2011 01:45:08
Так никто и неговорит про штатные средства. Порой их (да че там порой, в большенстве случаев ^_^) даже запустить неудаётся. В то время как тот-же GMer, да что там, даж procexp юзают свои драйвера. Ну и накройняк куча самописной шняги, умеющей вытаскивать файловые потоки ntfs, убивать скрытые процессы и еще немного разного. Я к тому что необязательно юзать liveCD, да и не понацея это, особенно т.е. что с антивирусами, да да, с как правило двервейшей базой на борту, т.к. перекачивать каждый раз образ в лом. Еще не стоит забывать про мамки с новыми чипсетами, где вероятность неувидеть винт загрузившись с LiveCD близка с 100% и опять пляски с бубном.
0 |
123
07-06-2011 19:48:20
Интересно, когда форумная шк0л0та поймет что писать глупости на форуме не смешно ...
0 |
Irjkjnf
07-06-2011 21:07:56
А где глупость-то>
0 |
89893
06-06-2011 22:48:54
Он используется в качестве «бэкдора» для установки и обновления кейлогеров и других типов вредоносного ПО на зараженном компьютере и не обнаруживается большинством антивирусов Так я не понял, это что, касепровские признались в своём бессилие? Если да, то нажрусь на радостях )))
0 |
Loki
07-06-2011 12:35:41
Нет, вы не правильно читаете: во-первых "касепровские" не входят в "большинство антивирусов", а во-вторых, наверное, может подразумеваться, что как раз "касепровские" этот вирус и обнаруживают.
0 |
pimiento
07-06-2011 11:08:50
Где скачать его можно?
0 |