Китай отменит цензуру для зарубежного бизнеса
Synchronica приобретает часть бизнеса у Nokia

TDL4 получил полную поддержку 64-битных операционных систем

Сотрудник Лаборатории Касперского (ЛК) Сергей Голованов опубликовал статью о новой версии самого опасной на сегодняшний день бот-сети TDL4. По информации Голованова, обновленный TDL получил полную поддержку 64-битных операционных систем.

TDL4 распространяется с помощью вредоносной программы, определяемой Антивирусом Касперского как TDSS. TDSS применяет различные методы обхода эвристической и проактивной защиты, а также применяет различные методы шифрования при соединении с центром управления бот-сети. Вирус имеет руткит составляющую, которая позволяет скрывать присутствие любой вредоносной деятельности на компьютере.

Первая версия бот-сети – TDL, появилась еще в 2008 году. С тех пор вирусописатели постоянно его развивали. В 2010 году, специалисты ЛК обнаружили в TDL-3 (актуальная в то время версия бот-сети) модули другой вредоносной программы — SHIZ. По всей вероятности, авторы вируса, уже завершившие разработку TDL-4, попросту продали исходный код TDL-3 иной группе вирусописателей. В итоге, разработчикам антивирусных программ пришлось бороться одновременно с несколькими версиями TDL.

В конце лета 2010 года появилась четвертая версия бот-сети. В ней наблюдались существенные изменения, теперь она обладала собственной, полностью сформированной файловой системой. В то время сотрудники компании ESET выпустили инструмент TdlFsReader, позволяющий обнаруживать и эффективно бороться с TDL.

В декабре 2010 года был опубликован доклад Вячеслава Русакова, в котором описывалось взаимодействие вируса с операционной системой. В работе очередной версии TDL способ распространения остался неизменным – вирус по-прежнему распространяется с помощью партнерских программ. Партнерские программы используют стандартный загрузчик TDL.

За 1000 установок вируса в партнерских программах TDL можно получить от 20 до 200 долларов, в зависимости от географического расположения компьютеров жертв. Чаще всего для распространения TDL используются порно сайты, пиратские ресурсы и хранилища фото и видео материалов.

В новой версии TDL в корне был изменен алгоритм шифрования протокола, который используется для связи зараженного компьютера с сервером управления бот-сети. Вместо RC4 вирусописатели разработали собственный алгоритм шифрования с использованием замены и операции XOR. Ключом данного алгоритма служит имя домена, с которым происходит соединение, а также параметр bsh файла cfg.ini.

TDL может умело прятать себя, а также загруженные им вредоносные программы от антивирусов. Чтобы другие вирусы, заразившие компьютер без ведома хозяев TDL, не привлекали внимания пользователей к зараженной машине, TDL-4 имеет возможность их удалять. Конечно, TDL-4 удаляет не все вредоносные программы, а только самые популярные.

www.securitylab.ru

Опубликовано 01.07.2011 11:41 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.
Реклама на сайте: