"Незламний" руткіт поневолив 4.5 мільйона ПК за 3 місяці
Рейтинг статті: / 4
НайгіршеНайкраще 
Неділя, 03 липня 2011, 16:16
Руткіт TDL-4Одна з найбільш хитрих шкідливих програм у світі заразила більше 4.5 мільйонів ПК всього лише за 3 місяці.
Руткіт TDSS з'явився в 2008 році, отримавши від експертів з безпеки неохоче поставлені високі оцінки з-за великого списку функцій просунутого рівня. Він практично не може бути виявлений антивірусним ПЗ і, крім того, він використовує низькорівневі функції, тому дослідникам надзвичайно важко вивчити його. Вбудована схема шифрування не дає інструментам моніторингу мережі перехопити повідомлення, що посилаються серверами здійснення контролю інфікованим машинам.
Остання версія руткіта TDL-4, яка використовується як бекдор для установки інших типів шкідливих програм, заразила 4,52 мільйона комп'ютерів за перші три місяці цього року, згідно з докладного технічного аналізу, опублікованому в середу антивірусної фірмою "Лабораторія Касперського". Практично третина зламаних комп'ютерів розташована в США. В ході успішних атак комп'ютерів ті, хто стоїть за всім цим, заробили близько 250 тисяч доларів тільки в цій країні.
TDL-4 є покращеною модифікацію TDL-3 і більш ранніх версій руткіта, який також відомий під ім'ям Alureon або просто TDL. Як повідомлялося раніше, тепер він здатний заражати 64-бітові версії Windows, обходячи політику підпису коду, яка була створена для того, щоб вона дозволяла установку драйверів тільки в разі їх цифрового підпису довіреного джерела. Його здатність створювати вузькоспеціалізовані сервери DHCP в мережі також дає цій новій версії ще більше можливостей для розповсюдження.
"Зміни в тій чи іншій мірі зачепили практично всі компоненти шкідливої програми TDL-4 і ступінь її активності в мережі", - написали дослідники Касперського в доповіді. "Власники TDL намагаються створити незламну ботмережу, захищену від атак, конкурентів і антивірусних компаній".
Додаткові зміни включають в себе нову антивірусну функцію, яка позбавляє інфіковані TDSS комп'ютери від 20 шкідливих програм-суперників - список включає в себе ZeuS, Gbot і Optima. Він також заносить до чорного списку адреси командних серверів, що використовуються цими програмами-конкурентами, щоб не дати їм працювати належним чином.
 Як і троян Popureb і ботмережа Torpig (відома також як Sinowal і Anserin), він теж заражає головний завантажувальний запис жорсткого диска комп'ютера, забезпечуючи тим самим запуск шкідливих програм ще до того, як завантажується Windows.
TDL-4 також здатний спілкуватися через пірингову мережу Kad. У разі виключення 60 або більше командних серверів, що використовуються для управління ботмережею TDSS (складно, але не неможливо, враховуючи знищення ботмереж Rustock і Coreflood), інфіковані TDSS машини можуть отримувати інструкції з використанням клієнта Kad з призначеними для користувача налаштуваннями.
Незважаючи на стійкість TDL-4, в ньому досі містяться помилки, як і в будь-якому іншому складному програмному забезпеченні. Дослідники "ЛК" змогли проаналізувати кількість заражень TDL-4 шляхом експлуатації уразливості, яка розкрити три MySQL-бази даних, розташованих в Молдові, Литві та США. Бази даних як раз і вивели дослідників на цифру в 4,52 мільйона інфекцій.
Примітно те, що дані не виявили російських користувачів - швидше за все тому, що партнерські програми, які платять від 20 до 200 доларів за кожну тисячу TDSS-інфекцій, не платять за інфікування комп'ютерів, розташованих в Росії.
(Джерело RU: xakep.ru)
 
>
КнигаНовиниПрактика пошукуПартнериПро нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting