Обнаружена связь между руткитами TDSS и ZeroAccess

image

Теги: TDSS, Trend Micro, руткит

Trend Micro обнаружила факты, указывающие на прямую связь между этими семействами вредоносного ПО.

Уже много было сказано о руткитах TDSS и ZeroAccess, а также об их сходстве. Исследователи из Trend Micro обнаружили нечто, что может указывать на прямую связь между этими семействами вредоносного ПО.

Возможности руткитов TDSS и ZeroAccess хорошо задокументированы. Оба вредоноса используют пиринговую связь, а посылаемый ими трафик зашифрован методом кодирования base64 и состоит из «мусорных» символов. Кроме того, обе программы нацелены на осуществление кликфрода.

По словам исследователей, TDSS и ZeroAccess поддерживают пиринговые сети с похожими функциями, но реализованы по-разному. ZeroAccess инфицирует COM-объекты и service.exe, тогда как TDSS поражает MBR. Примечательно то, что, при обнаружении на компьютере жертвы TDSS, ZeroAccess деактивирует его. Из этого можно сделать вывод, что руткиты созданы соперничающими разработчиками и распространяются злоумышленниками, враждующими между собой.

Тем не менее, исследователи обнаружили, что некоторые новые версии TDSS и сравнительно старая версия ZeroAccess одновременно использовали один и тот же домен. Эксперты считают, что модуль, содержащий алгоритм генерации доменного имени, который использовался в более ранней версии ZeroAccess, был адаптирован для новых версий TDSS, в частности, для DGAv14. Однако, по словам исследователей, это не обязательно должно свидетельствовать о сотрудничестве между разработчиками обоих руткитов.

«Модуль DGA мог быть получен от сторонних источников, и/или разработчики TDSS получают деньги, используя составляющие ZeroAccess», - сообщили в Trend Micro.


или введите имя

CAPTCHA