TDL4 отримав повну підтримку 64-бітних ОС

admin Новини ІТ-безпеки

TDL4 отримав повну підтримку 64-бітних ОССпівробітник Лабораторії Касперського Сергій Голованов опублікував статтю про нову версію самої небезпечної на сьогоднішній день бот-мережі TDL4. За інформацією Голованова, оновлений TDL отримав повну підтримку 64-бітних операційних систем.

TDL4 поширюється за допомогою шкідливої ​​програми, яка визначається Антивірусом Касперського як TDSS. TDSS застосовує різні методи обходу евристичного і проактивного захисту, а також застосовує різні методи шифрування при з'єднанні з центром управління бот-мережі. Вірус має руткіт складову, яка дозволяє приховувати присутність будь шкідливої ​​діяльності на комп'ютері.

Перша версія бот-мережі - TDL, з'явилася ще в 2008 році. З тих пір зловмисники постійно його розвивали. У 2010 році, фахівці ЛК виявили в TDL-3 (актуальна в той час версія бот-мережі) модулі іншої шкідливої ​​програми - SHIZ. Цілком ймовірно, автори вірусу, що вже завершили розробку TDL-4, просто продали вихідний код TDL-3 іншій групі хакерів. У результаті, розробникам антивірусних програм довелося боротися одночасно з декількома версіями TDL.

Наприкінці літа 2010 року з'явилася четверта версія бот-мережі. У ній спостерігалися істотні зміни, тепер вона мала власу, повністю сформовану файлову систему. У той час співробітники компанії ESET випустили інструмент TdlFsReader, що дозволяє виявляти і ефективно боротися з TDL.

У грудні 2010 року була опублікована доповідь В'ячеслава Русакова, в якому описувалося взаємодія вірусу з операційною системою. У роботі чергової версії TDL спосіб поширення залишився незмінним - вірус, як і раніше поширюється за допомогою партнерських програм. Партнерські програми використовують стандартний завантажувач TDL.

За 1000 установок вірусу в партнерських програмах TDL можна отримати від 20 до 200 доларів, залежно від географічного розташування комп'ютерів жертв. Найчастіше для розповсюдження TDL використовуються порно сайти, піратські ресурси і сховища фото і відео матеріалів.

У новій версії TDL докорінно був змінений алгоритм шифрування протоколу, який використовується для зв'язку зараженого комп'ютера з сервером управління бот-мережі. Замість RC4 хакери розробили власний алгоритм шифрування з використанням заміни та операції XOR. Ключем даного алгоритму служить ім'я домену, з яким відбувається з'єднання, а також параметр bsh файлу cfg.ini.

TDL може вміло ховати себе, а також завантажені них шкідливі програми від антивірусів. Щоб інші віруси, заразивши комп'ютер без відома господарів TDL, не привертали уваги користувачів до зараженої машині, TDL-4 має можливість їх видаляти. Звичайно, TDL-4 видаляє не всі шкідливі програми, а тільки найпопулярніші.