Новая версия руткита TDL 4 стала еще опаснее – Eset
Эксперты антивирусной компании Eset предупредили об обнаружении новой разновидности опасного руткита TDL4. Ранее большинство антивирусных компаний сошлись в своих обзорах в том, что TDL4 является одним из самых сложных хакерских кодов циркулирующих в наши дни. В Eset говорят, что обновленная версия TDL4 была переписана с тем, чтобы антивирусам было еще труднее ее обнаруживать.
“Исследователи Eset отслеживали ботсеть TDL4 довольно продолжительное время и теперь мы говорим о новом витке эволюции в ее развитии”, – говорит Девид Харли, директор по анализу вредоносных кодов в Eset. “Базируясь на анализа ее компонентов, мы беремся утверждать, что некоторые из частей TDL4 были переписаны с нуля (драйвер режима ядра, подгружаемый пользовательский модуль), тогда как некоторые (ряд компонентов буткита) остались прежними”.
Eset предполагает, что изменения в TDL4 были вызваны изменением состава команды разработчиков и операторов руткита.
Семейство руткитов TDL или TDSS обладает одной из самых сложных и комплексных техник сокрытия от обнаружения. В июле этого года “Лаборатория Касперского” назвала четвертую версию TDL “самым сложным хакерским кодом в мире”, добавив, что количество заражений TDL превысило 4,5 млн компьютеров. Существуют многие вещи, отличающие TDL4 от других руткитов. Это, во-первых, его возможность атаковать 64-битные системы Windows, во-вторых, возможность создавать собственную пиринговую сеть, а в-третьих, его возможность по размещению части кода в Master Boot Record на жестком диске.
Новая версия руткита, как утверждает Eset, стала еще опаснее. Теперь вместо хранения компонентов в MBR, система создает скрытый раздел в конце жесткого диска и делает его активным. Это позволяет хранить там вредоносный код, специальный загрузчик и работать с ним еще до загрузки основной ОС. Кроме того, антивирусы, проверяющие MBR, вредоносного кода по старому адресу уже не находят.
Создатели TDL4 также использовали продвинутую файловую системы для раздела. Эта ФС позволяет убедиться, что руткит в целостности сохраняет собственные компоненты. “Вредоносное ПО может находить собственные повреждения, вычисляя контрольную суммы CRC32 и сравнивая ее с данными в заголовке”, – говорят в Eset.
В апреле этого года Microsoft уже выпускала обновления Windows, блокирующее инфекционный цикл TDL4, однако чуть позже разработчики обновили код, обходящий блокировку. Ряд антивирусных компаний ранее предлагали бесплатные утилиты для лечения TDL4.