TDL4 переделали и уничтожить его стало сложнее, чем когда-либо

[CatalystX]

Один из самых продвинутых зловредов в мире улучшен, и теперь он еще более устойчив к попыткам его демонтировать, сказал исследователь.

 

"Анализ недавнего обновления TDL4, также известного как TDSS и Alureon, показал, что его компоненты, включая драйвер режима ядра и пэйлоад пользовательского режима, были переписаны с нуля", - написали в блоге исследователи из ESET. Реконструкция кода может значить, что операторы TDL4, который создан для запуска работы кейлоггеров, adware и других вредоносных программ на подвергнутых атаке машинах, могли начать обслуживать другие преступные группы.

 

В числе изменений, внесенных в TDL4 в ходе улучшения, способ, которым зловред пытается не попасться на глаза антивирусам и другим системам защиты. Новые версии создают скрытый раздел на жестких дисках зараженных компьютеров, и активируют их. Это обеспечивает выполнение спрятанного вредоносного кода еще до момента запуска Windows.

 

Также улучшения защищают код от удаления. Раздел оснащен продвинутой файловой системой, которая проверяет целостность компонентов TDL4. Если какие-либо файлы повреждены, то они удаляются.

 

Нельзя сказать, что TDL4 и раньше не был в числе самых утонченных зловредов. На момент своего появления в 2008 он был нераспознаваем для большинства антивирусов, и его использование низкоуровневых инструкций препятствовало попыткам провести его исследование. Его встроенная система шифрования не позволяет инструментам для мониторинга сети контролировать связи между зараженными ПК и командно-контрольными серверами.

 

Он был среди первых руткитов, заразивших 64-битные версии Windows путем обхода их принципов подписи кода режима ядра. Эта защита была представлена в 64-битных версиях Windows и позволяла установку драйверов только если на них есть цифровая подпись доверенного источника. В июне исследователи из Лаборатории Касперского сказали, что TDL4 заразил больше 4.5 миллионов компьютеров всего за три месяца.

 

У TDL4 также есть возможность связываться через P2P сеть Kad и заражать главную загрузочную запись жесткого диска на атакованном компьютере.

 

Последние изменения предполагают, что постоянным новшествам создателей TDL4 нет конца.

 

Источник: xakep.ru

[Sandynist]

Экспертов из компании Eset лучше отправить считать поголовье пингвинов в Антарктике, наверняка так от них будет намного больше пользы. После таких провальных результатов в тесте на лечение активного заражения (особенно в лечении TDL4) их оправдания выглядят просто нелепо

[Денис-НН]

Интересно. Они официально озвучили, что не могут детектировать и лечить TDSS? Смелое заявление, смелое.

[Lacoste]

http://www.anti-malware.ru/forum/index.php?showtopic=20123

 

В тему:

 

"Неудаляемый ESETом" вирус.

Так правильней, лол

[CatalystX]

ESET'у можно посоветовать только одно: сделать детект активного TDL3/4 таким как у Symantec.

[mike 1]

Вопрос к знатокам, а ЛК лечит/удаляет данный руткит?

[Fox]

ЛК лечит/удаляет данный руткит?

да.

[Lacoste]

Да и не TDSS это. Так к слову.

[Umnik]

сделать детект активного TDL3/4 таким как у Symantec.

В смысле костылями и так, что он не работает?

[CatalystX]

В смысле костылями и так, что он не работает?

Сейчас НИС 12 действительно почему-то не видит TDL4, но НИС 11 ловит TDL4 любой модификации в момент конекта последнего к командным серверам и отправляет за утилитой TDSSFix которая уже находит инфицированный MBR и исправляет его.

[Денис-НН]

Интересно, а если коннекта с сервером не будет - то TDL может жить спокойно? Его не видят?

[CatalystX]

Интересно, а если коннекта с сервером не будет - то TDL может жить спокойно? Его не видят?

Без коннекта к серверам TDL не опасен.

Он будет себе спокойно сидеть в MBR и читать свой конфиг

[Денис-НН]

Так рассуждать - половина вирусов не опасна.

те которые крадут пароли, тоже опасны до подключения к серверу, те которые делают файлы на флешке скрытыми - тоже не опасны до подключения влешки. Всё это тоже не детектится и не удаляется до наступления критического события?

[Umnik]

Поправочка - видит при подключении к известным Симантеку серверам, а не вообще к серверам. Это называется костыли.

[Maratka]

Без коннекта к серверам TDL не опасен.

Если не считать, что садит производительность системы на несколько десятков процентов, особо при интенсивных дисковых операциях - то да, не опасен.