Добавить новость
Добавить компанию
Добавить мероприятие
Руткит TDSS
30.06.2010 09:18
версия для печати
"Лаборатория Касперского" уделяет повышенное внимание проблемам, связанным с детектированием и лечением активного TDSS. В статье Вячеслава Русакова и Сергея Голованова рассказывается о руткит-технологиях, реализованных в TDSS, методах его распространения и о том, как злоумышленники наживаются с помощью этого руткита. TDSS взял на вооружение функцию заражения драйверов, которые обеспечивают его загрузку и работу на самых ранних этапах старта ОС. Как следствие, идентификация руткита TDSS в системе является серьезной проблемой, а его лечение – нелегкой задачей. Распространяется TDSS через партнерскую программу с привлечением любых возможных средств доставки вредоносного кода на компьютеры пользователей и атакует ПК по всему миру. Общее количество зараженных руткитом машин оценивается в 3 миллиона. Деньги пособники авторов TDSS получают в зависимости от числа заражений и локализации инфицированных машин. Дороже всего киберпреступники оценивают зараженные компьютеры на территории США, так что не удивительно, что около половины зомби-компьютеров под управлением TDSS находится в этой стране (http://www.networkworld.com/news/2009/072209-botnets.html). Сегодня на черном рынке можно найти ботнеты под управлением TDSS - как правило, это зомби-сети, состоящие примерно из 20 тыс. зараженных компьютеров. Административные панели ботнетов расположены в Китае, Люксембурге, Гонконге, Голландии и России. Руткит обладает широкими возможностями, и его использование зависит только от пожеланий авторов, задач арендаторов или покупателей ботнета, построенного на этой вредоносной программе. В статье приводятся результаты исследования нескольких ботнетов, созданных на основе TDSS. За время наблюдений экспертов за одним из таких ботнетов на него загружались и спам-боты, и фальшивые антивирусы, и троянцы для кражи персональных данных. На начало июня TDSS, инфицировавший компьютеры в исследуемых ботнетах, распространяли около 2000 "партнеров". Для заражения злоумышленники использовали фальшивые кодеки, которые требовалось установить якобы для просмотра видео на неком сайте, генераторы ключей для популярных программ вместе с которыми загружался руткит, различные наборы эксплойтов и т.д. TDSS – крайне опасная и технологически сложная вредоносная программа. Анализ TDSS позволил предположить, что его создатели русские или, по крайней мере, русскоговорящие. Авторы зловреда следят за разработками антивирусных компаний и мгновенно реагируют, выпуская новую исправленную версию руткита. Поэтому в ближайшее время следует ожидать изменения руткит-функционала в сторону большего противодействия анти-руткит технологиям. Пользователи продуктов "Лаборатории Касперского" защищены от TDSS. Однако специалисты компании напоминают о необходимости своевременного обновления антивирусных баз. Редактор раздела: Юрий Мальцев (maltsev@mskit.ru) Рубрики: Безопасность Ключевые слова: Dr Web, Symantec, Kaspersky, agnitum, информационная безопасность
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?
NNIT.RU: последние новости Нижнего Новгорода и Поволжья13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||