Один из самых продвинутых зловредов в мире улучшен, и теперь он еще более
устойчив к попыткам его демонтировать, сказал исследователь.

"Анализ недавнего обновления
TDL4, также известного
как TDSS и Alureon, показал, что его компоненты, включая драйвер режима ядра и
пэйлоад пользовательского режима, были переписаны с нуля", — написали в блоге
исследователи из ESET. Реконструкция кода может значить, что операторы TDL4,
который создан для запуска работы кейлоггеров, adware и других вредоносных
программ на подвергнутых атаке машинах, могли начать обслуживать другие
преступные группы.

В числе изменений, внесенных в TDL4 в ходе улучшения, способ, которым зловред
пытается не попасться на глаза антивирусам и другим системам защиты. Новые
версии создают скрытый раздел на жестких дисках зараженных компьютеров, и
активируют их. Это обеспечивает выполнение спрятанного вредоносного кода еще до
момента запуска Windows.

Также улучшения защищают код от удаления. Раздел оснащен продвинутой файловой
системой, которая проверяет целостность компонентов TDL4. Если какие-либо файлы
повреждены, то они удаляются.

Нельзя сказать, что TDL4 и раньше не был в числе самых утонченных зловредов.
На момент своего появления в 2008 он был нераспознаваем для большинства
антивирусов, и его использование низкоуровневых инструкций препятствовало
попыткам провести его исследование. Его встроенная система шифрования не
позволяет инструментам для мониторинга сети контролировать связи между
зараженными ПК и командно-контрольными серверами.

Он был среди первых руткитов,
заразивших 64-битные версии
Windows
путем обхода их принципов подписи кода режима ядра. Эта защита была
представлена в 64-битных версиях Windows и позволяла установку драйверов только
если на них есть цифровая подпись доверенного источника. В июне исследователи из
Лаборатории Касперского сказали, что TDL4 заразил больше 4.5 миллионов
компьютеров всего за три месяца.

У TDL4 также есть возможность связываться через P2P сеть Kad и заражать
главную загрузочную запись жесткого диска на атакованном компьютере.

Последние изменения предполагают, что постоянным новшествам создателей TDL4
нет конца.



Оставить мнение