Вредоносная программа детектируемая Антивирусом Касперского как TDSS

:  Вредоносная программа, детектируемая Антивирусом Касперского как TDSS, относится к наиболее сложным на сегодняшний день зловредам. TDSS использует различные методы обхода сигнатурного, эвристического и проактивного детектирования, применяет методы шифрования при общении бота с командным центром ботнета и обладает мощной руткит-составляющей, которая позволяет скрывать присутствие в системе любых других вредоносных программ.
Авторское название данной программы – TDL. Со времени появления зловреда в 2008 году вирусописатели постоянно совершенствуют свое детище. К 2010 году актуальной была версия TDL-3, которую мы довольно подробно описали в статье, опубликованной в июне 2010 года, сообщает «Лаборатория Касперского».

Авторы TDSS никогда не выставляли программу на продажу – вплоть конца 2010 года. В декабре при анализе одного из самплов мы обнаружили нечто странное: зашифрованный диск TDL-3 содержал модули другой вредоносной программы – SHIZ. одержимое зашифрованного диска TDL-3 c модулями вредоносной программы SHIZ.

Тогда же в интернете появилась партнерская программа по подмене выдачи поисковых систем, принадлежащая создателям SHIZ, но построенная на TDL-3.

Изменения, произошедшие с конфигурацией TDL-3, и появление новой партнерки сидетельствуют о том, что исходные коды TDL-3 были проданы злоумышленникам, ранее занимавшимся разработкой вредоносной программы SHIZ.

Почему же авторы TDL решились на продажу исходных кодов третьей версии своей программы? Дело в том, что к тому времени уже появилась версия TDL-4. Вероятно, изменения в ней вирусописатели сочли настолько значительными, что не побоялись конкуренции со стороны новых владельцев TDL-3.

В конце 2010 года Вячеслав Русаков описал работу новой версии руткита TDSS с точки зрения его взаимодействия с операционной системой. Мы рассмотрим TDL-4 с точки зрения ее работы с сетью и полезной нагрузки на ботнет, насчитывающий на момент проведения исследования более 4,5 миллионов зараженных компьютеров.

comments powered by HyperComments

Также читайте