Сотрудник Лаборатории Касперского (ЛК) Сергей Голованов опубликовал статью о новой версии самого опасной на сегодняшний день бот-сети TDL4. По информации Голованова, обновленный TDL получил полную поддержку 64-битных операционных систем.
TDL4 распространяется с помощью вредоносной программы, определяемой Антивирусом Касперского как TDSS. TDSS применяет различные методы обхода эвристической и проактивной защиты, а также применяет различные методы шифрования при соединении с центром управления бот-сети. Вирус имеет руткит составляющую, которая позволяет скрывать присутствие любой вредоносной деятельности на компьютере.
Первая версия бот-сети – TDL, появилась еще в 2008 году. С тех пор вирусописатели постоянно его развивали. В 2010 году, специалисты ЛК обнаружили в TDL-3 (актуальная в то время версия бот-сети) модули другой вредоносной программы — SHIZ. По всей вероятности, авторы вируса, уже завершившие разработку TDL-4, попросту продали исходный код TDL-3 иной группе вирусописателей. В итоге, разработчикам антивирусных программ пришлось бороться одновременно с несколькими версиями TDL.
В конце лета 2010 года появилась четвертая версия бот-сети. В ней наблюдались существенные изменения, теперь она обладала собственной, полностью сформированной файловой системой. В то время сотрудники компании ESET выпустили инструмент TdlFsReader, позволяющий обнаруживать и эффективно бороться с TDL.
В декабре 2010 года был опубликован доклад Вячеслава Русакова, в котором описывалось взаимодействие вируса с операционной системой. В работе очередной версии TDL способ распространения остался неизменным – вирус по-прежнему распространяется с помощью партнерских программ. Партнерские программы используют стандартный загрузчик TDL.
За 1000 установок вируса в партнерских программах TDL можно получить от 20 до 200 долларов, в зависимости от географического расположения компьютеров жертв. Чаще всего для распространения TDL используются порно сайты, пиратские ресурсы и хранилища фото и видео материалов.
В новой версии TDL в корне был изменен алгоритм шифрования протокола, который используется для связи зараженного компьютера с сервером управления бот-сети. Вместо RC4 вирусописатели разработали собственный алгоритм шифрования с использованием замены и операции XOR. Ключом данного алгоритма служит имя домена, с которым происходит соединение, а также параметр bsh файла cfg.ini.
TDL может умело прятать себя, а также загруженные им вредоносные программы от антивирусов. Чтобы другие вирусы, заразившие компьютер без ведома хозяев TDL, не привлекали внимания пользователей к зараженной машине, TDL-4 имеет возможность их удалять. Конечно, TDL-4 удаляет не все вредоносные программы, а только самые популярные.
Источник: securitylab.ru.
|