• Новости
  • » Новости компании
  • » Мировые события
• Продукты
  • » Список продуктов
  • » Security Suite
  • » Autorun Manager
  • » Proactive Defense
  • » Personal Firewall
  • » Партнерство
  • » OEM партнерство
  • » Утилиты
  • » Скачать
• Компания
  • » О компании
  • » История
  • » Форум
  • » Контактная информация
• Работа
  • » Как мы работаем
  • » Где мы работаем
  • » Наши преимущества
  • » Наши вакансии

Новости компании

• Мировые события

Ботнет TDL4 перешел на новый этап эволюции

31 октября, 2011

Ведущий научный сотрудник ESET Дэвид Харли сообщил, что за то время, пока он и его сотрудники наблюдали за TDL4, они отметили переход бот-сети на новый этап эволюции.

Эти изменения, отметил он, могут быть сигналом того, что либо команда, разрабатывающая вредоносную программу сменилась, либо что разработчики начали сдавать в аренду буткит-билдер другим группам киберпреступников.

Дроппер ботнета, утверждает он, отсылает массу информации для выслеживания в командно-контрольный сервер во время установки руткита в систему. В случае какой-либо ошибки, по словам Харли, руткит посылает сообщение о комплексной ошибке, что дает разработчикам вредоносного ПО достаточно информации для того, чтобы определить причину неисправности.

Все это, пишет Харли в своем последнем посте, свидетельствует о том, что бот все еще находится в стадии разработки.

“Мы также нашли способ противодействия бот-трекеру на основе виртуальных машин: во время установки вредоносного ПО он проверяет, можно ли в данный момент запустить дроппер в среде виртуальной машины и эта информация отсылается на командно-контрольный сервер. Конечно, вредоносное ПО, которое запускается в виртуальной среде, не представляет из себя ничего необычного в мире современного вредоносного ПО, но в мире TDL это кое-что новое”, - говорит он.

Одно из самых интересных направлений эволюции бот-сети, отмечает Infosecurity, это то, что изменилось расположение скрытой файловой системы.

В отличие от предыдущей версии, которая, как пишет Харли, была способна хранить не более 15 файлов - независимо от размера занятого пространства - мощность новой файловой системы ограничивается размером вредоносных разделов.

Файловая система, представленная в последней модификации вредоносной программы, более продвинутая, чем ранее, отметил Харли, добавив, что, например, вредоносное ПО способно обнаружить повреждение файлов, хранящихся в скрытой файловой системе, путем вычисления контрольной суммы CRC32 и сравнивая ее со значением, хранящимся в заголовке файла.

В случае, если файл поврежден, он удаляется из файловой системы.

На Avecto Марк Остин, специалист по Windows, сказал, что удаление прав администратора поможет добавить дополнительный уровень защиты в непрекращающейся борьбе против кодеров-злоумышленников.

“TDL4 – это вредоносный код, который охватывает как аспекты устранения конкурентов, типа Zeus, так и добавления технологий, которые делают обычный шаблонный/эвристический анализ намного более трудным”, - объясняет он.

Удаление прав администратора, продолжил он, это мощный инструмент, являющийся частью многослойной стратегии IT-безопасности в постоянно ведущейся борьбе с вредоносным ПО во всех его формах и проявлениях.

“Даже если вам, например, “повезло” обнаружить одну или несколько учетных записей, скомпрометированных с помощью фишинг-атаки, тот факт, что учетная(ые) запись(и) ограничены в своих действиях поможет снизить негативный эффект от проблем, связанных с нарушением информационной безопасности”, - добавил он.

Такое вредоносное ПО, как это, сказал Остин, почти наверняка развивается, киберпреступники, усовершенствовав некоторые функции, удалив старый код и добавив новые элементы, получают возможности воспользоваться вновь открывшимся направлениями для атак.

“Не надо быть гением, чтобы понять, что победит новое эволюционировавшее поколение вредоносных программ – или, что особенно важно, совершенно новый код вредоносного ПО. Что необходимо, так это тщательно спланированная стратегия, с хорошо продуманной реализацией, использующая несколько элементов безопасности, которые, при их сочетании, дадут больший эффект, чем сумма их компонентов”, - отметил он.

“Привилегированное управление учетной записью может существенно помочь IT-специалистам в этом, поскольку станет дополнительным бастионом в их системе обороны. Это часть GRC-управления, концепции анализа рисков и совместимости – система, на которой основывается вся современная система IT-управления безопасностью”, - добавил он.

Xakep.ru

←      →

Мировые события