Перейти к содержанию

TDL4 переделали и уничтожить его стало сложнее, чем когда-либо


Рекомендуемые сообщения

Один из самых продвинутых зловредов в мире улучшен, и теперь он еще более устойчив к попыткам его демонтировать, сказал исследователь.

 

"Анализ недавнего обновления TDL4, также известного как TDSS и Alureon, показал, что его компоненты, включая драйвер режима ядра и пэйлоад пользовательского режима, были переписаны с нуля", - написали в блоге исследователи из ESET. Реконструкция кода может значить, что операторы TDL4, который создан для запуска работы кейлоггеров, adware и других вредоносных программ на подвергнутых атаке машинах, могли начать обслуживать другие преступные группы.

 

В числе изменений, внесенных в TDL4 в ходе улучшения, способ, которым зловред пытается не попасться на глаза антивирусам и другим системам защиты. Новые версии создают скрытый раздел на жестких дисках зараженных компьютеров, и активируют их. Это обеспечивает выполнение спрятанного вредоносного кода еще до момента запуска Windows.

 

Также улучшения защищают код от удаления. Раздел оснащен продвинутой файловой системой, которая проверяет целостность компонентов TDL4. Если какие-либо файлы повреждены, то они удаляются.

 

Нельзя сказать, что TDL4 и раньше не был в числе самых утонченных зловредов. На момент своего появления в 2008 он был нераспознаваем для большинства антивирусов, и его использование низкоуровневых инструкций препятствовало попыткам провести его исследование. Его встроенная система шифрования не позволяет инструментам для мониторинга сети контролировать связи между зараженными ПК и командно-контрольными серверами.

 

Он был среди первых руткитов, заразивших 64-битные версии Windows путем обхода их принципов подписи кода режима ядра. Эта защита была представлена в 64-битных версиях Windows и позволяла установку драйверов только если на них есть цифровая подпись доверенного источника. В июне исследователи из Лаборатории Касперского сказали, что TDL4 заразил больше 4.5 миллионов компьютеров всего за три месяца.

 

У TDL4 также есть возможность связываться через P2P сеть Kad и заражать главную загрузочную запись жесткого диска на атакованном компьютере.

 

Последние изменения предполагают, что постоянным новшествам создателей TDL4 нет конца.

 

Источник: xakep.ru

Ссылка на комментарий
Поделиться на другие сайты

Экспертов из компании Eset лучше отправить считать поголовье пингвинов в Антарктике, наверняка так от них будет намного больше пользы. После таких провальных результатов в тесте на лечение активного заражения (особенно в лечении TDL4) их оправдания выглядят просто нелепо :)

post-860-1319531921_thumb.jpg

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

В смысле костылями и так, что он не работает?

Сейчас НИС 12 действительно почему-то не видит TDL4, но НИС 11 ловит TDL4 любой модификации в момент конекта последнего к командным серверам и отправляет за утилитой TDSSFix которая уже находит инфицированный MBR и исправляет его.

Ссылка на комментарий
Поделиться на другие сайты

Интересно, а если коннекта с сервером не будет - то TDL может жить спокойно? Его не видят?

Без коннекта к серверам TDL не опасен.

Он будет себе спокойно сидеть в MBR и читать свой конфиг :)

Ссылка на комментарий
Поделиться на другие сайты

Так рассуждать - половина вирусов не опасна.

те которые крадут пароли, тоже опасны до подключения к серверу, те которые делают файлы на флешке скрытыми - тоже не опасны до подключения влешки. Всё это тоже не детектится и не удаляется до наступления критического события?

Ссылка на комментарий
Поделиться на другие сайты

Без коннекта к серверам TDL не опасен.

Если не считать, что садит производительность системы на несколько десятков процентов, особо при интенсивных дисковых операциях - то да, не опасен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Dimonovic
      От Dimonovic
      стали приходить уведомления от касперского что на пк вирус, но при полной проверке показывает что ничего нету
      CollectionLog-2024.11.30-21.42.zip
    • KZMZ
      От KZMZ
      на мой документах стоят не понятный файл который не удаляется
      вот логи с AVZ5 и FRST
      Addition.txt avz_log.txt FRST.txt
    • Magerattor J.
      От Magerattor J.
      Сегодня после загрузки программы сама открывалась командная строка и пк стал сильно зависать. В диспетчере задач, при открытии, на секунду видна загрузка процессора под 80% и выше, после чего она спадает, но если долго бездействовать, то нагрузка вновь возрастет до 50+ процентов. С помощью доктора веба проверял, ничего не нашел, однако в самом диспетчере подозрительно много одних и тех же служб svhost waxp и др. Уже пытался откатить до последнего сохраненного образа, что не дало результата, ибо майнер снова открыл командную строку. Пытался переустановить виндовс, с последующими мучениями на драйвера с интернетом(судя по тому, что загрузка цп все еще идет при открытии диспетчера под 80%, то это не помогло). в безопасном режиме при открытии диспетчера никакой нагрузки в 80% не наблюдается.  

      CollectionLog-2024.09.29-21.18.zip
    • Dopelganger
      От Dopelganger
      Добрый вечер, словил майнер John. С помощью AVbr смог почистить host и удалить вредоносные программы, но есть проблема с правами администратора. Помогите избавиться. Также не отображается папка C:\Program Files\Malwarebytes даже при включении скрытых файлов.
      avz_log.txt

    • Евгений Волков
      От Евгений Волков
      Доброго времени суток. Подхватил шифровальщик через RDP, после чего все файлы приняли расширение х101, в учетных записях появилась новая учетка Т800. В нее я не смог попасть. В просмотре событий понял, что было подключение по rdp  с ай пи 89.38.69.112 Сессия длилась почти 30 минут. Испробовал кучу дешифраторов, не помогло)))
       
      записка.rar зашифрованный файл.rar лог farbar.rar записка.rar лог farbar.rar зашифрованный файл.rar
×
×
  • Создать...