CatalystX 29 Опубликовано 25 октября, 2011 Share Опубликовано 25 октября, 2011 Один из самых продвинутых зловредов в мире улучшен, и теперь он еще более устойчив к попыткам его демонтировать, сказал исследователь. "Анализ недавнего обновления TDL4, также известного как TDSS и Alureon, показал, что его компоненты, включая драйвер режима ядра и пэйлоад пользовательского режима, были переписаны с нуля", - написали в блоге исследователи из ESET. Реконструкция кода может значить, что операторы TDL4, который создан для запуска работы кейлоггеров, adware и других вредоносных программ на подвергнутых атаке машинах, могли начать обслуживать другие преступные группы. В числе изменений, внесенных в TDL4 в ходе улучшения, способ, которым зловред пытается не попасться на глаза антивирусам и другим системам защиты. Новые версии создают скрытый раздел на жестких дисках зараженных компьютеров, и активируют их. Это обеспечивает выполнение спрятанного вредоносного кода еще до момента запуска Windows. Также улучшения защищают код от удаления. Раздел оснащен продвинутой файловой системой, которая проверяет целостность компонентов TDL4. Если какие-либо файлы повреждены, то они удаляются. Нельзя сказать, что TDL4 и раньше не был в числе самых утонченных зловредов. На момент своего появления в 2008 он был нераспознаваем для большинства антивирусов, и его использование низкоуровневых инструкций препятствовало попыткам провести его исследование. Его встроенная система шифрования не позволяет инструментам для мониторинга сети контролировать связи между зараженными ПК и командно-контрольными серверами. Он был среди первых руткитов, заразивших 64-битные версии Windows путем обхода их принципов подписи кода режима ядра. Эта защита была представлена в 64-битных версиях Windows и позволяла установку драйверов только если на них есть цифровая подпись доверенного источника. В июне исследователи из Лаборатории Касперского сказали, что TDL4 заразил больше 4.5 миллионов компьютеров всего за три месяца. У TDL4 также есть возможность связываться через P2P сеть Kad и заражать главную загрузочную запись жесткого диска на атакованном компьютере. Последние изменения предполагают, что постоянным новшествам создателей TDL4 нет конца. Источник: xakep.ru Цитата Ссылка на сообщение Поделиться на другие сайты
Sandynist 1 115 Опубликовано 25 октября, 2011 Share Опубликовано 25 октября, 2011 Экспертов из компании Eset лучше отправить считать поголовье пингвинов в Антарктике, наверняка так от них будет намного больше пользы. После таких провальных результатов в тесте на лечение активного заражения (особенно в лечении TDL4) их оправдания выглядят просто нелепо 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Денис-НН 1 224 Опубликовано 25 октября, 2011 Share Опубликовано 25 октября, 2011 Интересно. Они официально озвучили, что не могут детектировать и лечить TDSS? Смелое заявление, смелое. Цитата Ссылка на сообщение Поделиться на другие сайты
Lacoste 234 Опубликовано 25 октября, 2011 Share Опубликовано 25 октября, 2011 http://www.anti-malware.ru/forum/index.php?showtopic=20123 В тему: "Неудаляемый ESETом" вирус.Так правильней, лол Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 25 октября, 2011 Автор Share Опубликовано 25 октября, 2011 ESET'у можно посоветовать только одно: сделать детект активного TDL3/4 таким как у Symantec. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 25 октября, 2011 Share Опубликовано 25 октября, 2011 Вопрос к знатокам, а ЛК лечит/удаляет данный руткит? Цитата Ссылка на сообщение Поделиться на другие сайты
Fox 253 Опубликовано 25 октября, 2011 Share Опубликовано 25 октября, 2011 ЛК лечит/удаляет данный руткит? да. Цитата Ссылка на сообщение Поделиться на другие сайты
Lacoste 234 Опубликовано 25 октября, 2011 Share Опубликовано 25 октября, 2011 Да и не TDSS это. Так к слову. Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 282 Опубликовано 25 октября, 2011 Share Опубликовано 25 октября, 2011 сделать детект активного TDL3/4 таким как у Symantec. В смысле костылями и так, что он не работает? Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 25 октября, 2011 Автор Share Опубликовано 25 октября, 2011 В смысле костылями и так, что он не работает? Сейчас НИС 12 действительно почему-то не видит TDL4, но НИС 11 ловит TDL4 любой модификации в момент конекта последнего к командным серверам и отправляет за утилитой TDSSFix которая уже находит инфицированный MBR и исправляет его. Цитата Ссылка на сообщение Поделиться на другие сайты
Денис-НН 1 224 Опубликовано 26 октября, 2011 Share Опубликовано 26 октября, 2011 Интересно, а если коннекта с сервером не будет - то TDL может жить спокойно? Его не видят? Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 26 октября, 2011 Автор Share Опубликовано 26 октября, 2011 Интересно, а если коннекта с сервером не будет - то TDL может жить спокойно? Его не видят? Без коннекта к серверам TDL не опасен. Он будет себе спокойно сидеть в MBR и читать свой конфиг Цитата Ссылка на сообщение Поделиться на другие сайты
Денис-НН 1 224 Опубликовано 26 октября, 2011 Share Опубликовано 26 октября, 2011 Так рассуждать - половина вирусов не опасна. те которые крадут пароли, тоже опасны до подключения к серверу, те которые делают файлы на флешке скрытыми - тоже не опасны до подключения влешки. Всё это тоже не детектится и не удаляется до наступления критического события? Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 282 Опубликовано 26 октября, 2011 Share Опубликовано 26 октября, 2011 Поправочка - видит при подключении к известным Симантеку серверам, а не вообще к серверам. Это называется костыли. Цитата Ссылка на сообщение Поделиться на другие сайты
Maratka 68 Опубликовано 26 октября, 2011 Share Опубликовано 26 октября, 2011 Без коннекта к серверам TDL не опасен. Если не считать, что садит производительность системы на несколько десятков процентов, особо при интенсивных дисковых операциях - то да, не опасен. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.