TDSS приобрел механизм самораспространения
Сотрудник "Лаборатории Касперского" Сергей Голованов сообщает в блоге о том, что новая версия руткита TDSS, также известного как Alureon и TDL4, способна инфицировать новые системы при помощи нескольких способов.
Первый способ состоит в заражении съемных дисков специальным файлом, который будет запускаться каждый раз при подключении устройства к компьютеру. Этот способ был популярен в течение многих лет и использовался червями, включая Conficker. Нет ничего необычного в том, что TDSS использует данный способ.
Второй способ заключается в распространении вируса через локальные сети. Руткит создает ложный DHCP-сервер и ожидает, пока одна из машин осуществит запрос на получение IP адреса. При получении запроса, приложение отправляет компьютеру действительный IP-адрес и IP-адрес контролируемого злоумышленниками DNS сервера. Затем, DNS-сервер перенаправляет пользователя на вредоносный сайт.
«После этих действий, при попытке посетить какой-либо Web сайт, пользователь перенаправляется на вредоносный сайт, где ему предлагается обновить версию браузера», как сообщает Голованов. «Пользователь не сможет зайти на страницу, пока не согласится установить «обновление»".
В конце прошлого года TDSS приобрел способность инфицировать 64-разрядные версии MicrosoftWindows, минуя политику подписи кода на уровне ядра ОС. По оценкам экспертов компании Prevx, на сегодняшний день TDSS является одним из самых опасных руткитов. Он используется в качестве «бэкдора» для установки и обновления кейлогеров и других типов вредоносного ПО на зараженном компьютере и не обнаруживается большинством антивирусов.
www.securitylab.ru