Ведущий научный сотрудник ESET Дэвид Харли сообщил, что за то время, пока он
и его сотрудники наблюдали за TDL4, они отметили переход бот-сети на новый этап
эволюции.
Эти изменения, отметил он, могут быть сигналом того, что либо команда,
разрабатывающая вредоносную программу сменилась, либо что разработчики начали
сдавать в аренду буткит-билдер другим группам киберпреступников.
Дроппер ботнета, утверждает он, отсылает массу информации для выслеживания в
командно-контрольный сервер во время установки руткита в систему. В случае
какой-либо ошибки, по словам Харли, руткит посылает сообщение о комплексной
ошибке, что дает разработчикам вредоносного ПО достаточно информации для того,
чтобы определить причину неисправности.
Все это, пишет Харли в своем последнем
посте,
свидетельствует о том, что бот все еще находится в стадии разработки.
"Мы также нашли способ противодействия бот-трекеру на основе виртуальных
машин: во время установки вредоносного ПО он проверяет, можно ли в данный момент
запустить дроппер в среде виртуальной машины и эта информация отсылается на
командно-контрольный сервер. Конечно, вредоносное ПО, которое запускается в
виртуальной среде, не представляет из себя ничего необычного в мире современного
вредоносного ПО, но в мире TDL это кое-что новое", - говорит он.
Одно из самых интересных направлений эволюции бот-сети, отмечает Infosecurity,
это то, что изменилось расположение скрытой файловой системы.
В отличие от предыдущей версии, которая, как пишет Харли, была способна
хранить не более 15 файлов - независимо от размера занятого пространства -
мощность новой файловой системы ограничивается размером вредоносных разделов.
Файловая система, представленная в последней модификации вредоносной
программы, более продвинутая, чем ранее, отметил Харли, добавив, что, например,
вредоносное ПО способно обнаружить повреждение файлов, хранящихся в скрытой
файловой системе, путем вычисления контрольной суммы CRC32 и сравнивая ее со
значением, хранящимся в заголовке файла.
В случае, если файл поврежден, он удаляется из файловой системы.
На Avecto Марк Остин,
специалист по Windows, сказал, что удаление прав администратора поможет добавить
дополнительный уровень защиты в непрекращающейся борьбе против
кодеров-злоумышленников.
"TDL4 – это вредоносный код, который охватывает как аспекты устранения
конкурентов, типа Zeus, так и добавления технологий, которые делают обычный
шаблонный/эвристический анализ намного более трудным", - объясняет он.
Удаление прав
администратора, продолжил он, это мощный инструмент, являющийся частью
многослойной стратегии IT-безопасности в постоянно ведущейся борьбе с
вредоносным ПО во всех его формах и проявлениях.
"Даже если вам, например, "повезло" обнаружить одну или несколько учетных
записей, скомпрометированных с помощью фишинг-атаки, тот факт, что учетная(ые)
запись(и) ограничены в своих действиях поможет снизить негативный эффект от
проблем, связанных с нарушением информационной безопасности", - добавил он.
Такое вредоносное ПО, как это, сказал Остин, почти наверняка развивается,
киберпреступники, усовершенствовав некоторые функции, удалив старый код и
добавив новые элементы, получают возможности воспользоваться вновь открывшимся
направлениями для атак.
"Не надо быть гением, чтобы понять, что победит новое эволюционировавшее
поколение вредоносных программ – или, что особенно важно, совершенно новый код
вредоносного ПО. Что необходимо, так это тщательно спланированная стратегия, с
хорошо продуманной реализацией, использующая несколько элементов безопасности,
которые, при их сочетании, дадут больший эффект, чем сумма их компонентов", -
отметил он.
"Привилегированное управление учетной записью может существенно помочь
IT-специалистам в этом, поскольку станет дополнительным бастионом в их системе
обороны. Это часть GRC-управления, концепции анализа рисков и совместимости –
система, на которой основывается вся современная система IT¬-управления
безопасностью", - добавил он.
