TDL4 получил полную поддержку 64-битных операционных систем

image

Теги: ботнет, Лаборатория Касперского, руткит

Сотрудник Лаборатории Касперского Сергей Голованов опубликовал обзор самой опасной на сегодняшний день бот-сети.

Сотрудник Лаборатории Касперского (ЛК) Сергей Голованов опубликовал статью о новой версии самого опасной на сегодняшний день бот-сети TDL4. По информации Голованова, обновленный TDL получил полную поддержку 64-битных операционных систем.

TDL4 распространяется с помощью вредоносной программы, определяемой Антивирусом Касперского как TDSS. TDSS применяет различные методы обхода эвристической и проактивной защиты, а также применяет различные методы шифрования при соединении с центром управления бот-сети. Вирус имеет руткит составляющую, которая позволяет скрывать присутствие любой вредоносной деятельности на компьютере.

Первая версия бот-сети – TDL, появилась еще в 2008 году. С тех пор вирусописатели постоянно его развивали. В 2010 году, специалисты ЛК обнаружили в TDL-3 (актуальная в то время версия бот-сети) модули другой вредоносной программы — SHIZ. По всей вероятности, авторы вируса, уже завершившие разработку TDL-4, попросту продали исходный код TDL-3 иной группе вирусописателей. В итоге, разработчикам антивирусных программ пришлось бороться одновременно с несколькими версиями TDL.

В конце лета 2010 года появилась четвертая версия бот-сети. В ней наблюдались существенные изменения, теперь она обладала собственной, полностью сформированной файловой системой. В то время сотрудники компании ESET выпустили инструмент TdlFsReader, позволяющий обнаруживать и эффективно бороться с TDL.

В декабре 2010 года был опубликован доклад Вячеслава Русакова, в котором описывалось взаимодействие вируса с операционной системой. В работе очередной версии TDL способ распространения остался неизменным – вирус по-прежнему распространяется с помощью партнерских программ. Партнерские программы используют стандартный загрузчик TDL.

За 1000 установок вируса в партнерских программах TDL можно получить от 20 до 200 долларов, в зависимости от географического расположения компьютеров жертв. Чаще всего для распространения TDL используются порно сайты, пиратские ресурсы и хранилища фото и видео материалов.

В новой версии TDL в корне был изменен алгоритм шифрования протокола, который используется для связи зараженного компьютера с сервером управления бот-сети. Вместо RC4 вирусописатели разработали собственный алгоритм шифрования с использованием замены и операции XOR. Ключом данного алгоритма служит имя домена, с которым происходит соединение, а также параметр bsh файла cfg.ini.

TDL может умело прятать себя, а также загруженные им вредоносные программы от антивирусов. Чтобы другие вирусы, заразившие компьютер без ведома хозяев TDL, не привлекали внимания пользователей к зараженной машине, TDL-4 имеет возможность их удалять. Конечно, TDL-4 удаляет не все вредоносные программы, а только самые популярные.


или введите имя

CAPTCHA
Страницы: 1  2  
пельмешка
01-07-2011 12:28:55
какой хороший вирус, обладает и файловой системой, и поддержкой 64бит, и антивирусными механизмами.. приятно, когда знаешь в чьих лабораториях это происходит.
0 |
By
01-07-2011 14:31:41
Интересно, вот это самый TDL имеет на своём борту механизм внедрения, подразумевающий, что запускающий его обладает правам адм., а если запуск идёт от имени непривелигированного пользователя?
0 |
123
01-07-2011 14:39:53
Не раз сталкивался с вирусами, которые работали под непривилегированным пользователем и жили чисто в его профиле.
0 |
By
01-07-2011 14:43:32
Где то инфу читал, что он внедряется по самые помидоры, начиная с загрузчика, так вот в чём и вопрос, при внедрении оно само повышает права доступа, чтобы такое делать, или попросу облом произойдёт.
0 |
Наше имя
01-07-2011 17:55:11
Умеет повышать себе привилегии, напр.: http://www.securelist.com/ru/blog/207760875/TDL4_stal_ispolzovat_0_day_uya%20zvimost
0 |
andrey_shi
01-07-2011 17:57:10
Само не сомневайтесь. Внедряется в загрузчик т.е. запускается до начала работы систем защиты операционки. Главное что с теперешней версией "антивирусники" не знают как бороться и это очень плохо.
0 |
Виталик.
02-07-2011 15:03:00
http://blog.eset.com/category/tdl4 http://blog.eset.com/category/tdss http://blog.eset.com/category/aleksandr-matrosov http://blog.eset.com/category/eugene-rodionov http://www.eset.com/us/resources/white-papers/The_Evolution_of_TDL.pdf
0 |
Аноним
03-07-2011 09:06:14
Совсем поделку вашу никто уже не покупает?
0 |
Страницы: 1  2