Между кибер-мошенниками, занимающимися руткитами, разворачивается борьба за
контроль над зараженными ПК.

Одна из группировок, купившая исходный код
TDL, продающийся на
подпольных Х-форумах, сделала свою собственную модификацию, в результате которой
появилась родственная руткиту программа под названием ZeroAccess. Согласно
анализу, проведенному компанией по веб-безопасности Webroot, помимо функции
накручивания кликов, группировка включила в комплекте функции, которые
деинсталлируют оригинальный руткит TDL с зараженных ПК, с успехом надувая создателя TDL3.

"Создатель руткита TDL3 сделал две версии TDL3. Он оставил вторую версию для
себя и продал первую версию людям, стоящим за ZeroAccess", — рассказал Жак
Эразмус из Webroot.

Адаптация приобретенного исходного кода – это все часть развития программного
обеспечения, в независимости, идет ли речь о законной или "независимой"
кибер-экономике. Однако анализ Webroot говорит о том, что скорее всего
отношения между TDL3 и ZeroAccess накалились, когда ZeroAccess начал деинсталлировать TDL3 с зараженных ПК при помощи
специального модуля под названием Anti-TDL.

Очевидно, что авторы TDL3 продали версию исходного кода создателям ZeroAccess. Сейчас
ребята из ZeroAccess надувают автора TDL3, деинсталлируя руткит TDL, говорит Жак
Эразмус. Такое поведение напоминает предыдущие войны за сферы влияния между
поставщиками банковских троянов ZeuS и SpyEye, когда авторы SpyEye начал
разрабатывать функции для
уничтожения ZeuS
.

ZeroAccess быстро распространяется через взломанные сайты и сайты с кейгенами.
Вредоносное программное обеспечение особенно трудно уничтожить, т.к.оно выходит
за пределы системы безопасности, о чем свидетельствует видео, созданное Webroot.

Оставить мнение