|
Новости
|
|
29 марта 2013 г
Бэкдор Tidserv использует платформу, разработанную Google
Корпорация Symantec сообщает подробности о сложной активной угрозе Tidserv, которая использует функционал руткита, вследствие чего обнаружить ее крайне сложно. Для функционирования вредоносной программе необходима среда Chromium Embedded Framework, поэтому она дополнительно закачивает на заражённый компьютер порядка 50 МБ.
Tidserv (или TDL) – это сложная угроза, которая маскируется себя в системе с помощью руткит-технологий. Будучи обнаруженной еще в 2008 году, она остается активной до сих пор. Распространяемый сейчас в интернете вариант Tidserv использует в своей работе программную платформу Chromium Embedded Framework (CEF). И хотя это не первый случай, когда злоумышленники используют легитимное ПО в своих целях, в данном случае для корректной работы вируса требуется загрузка всех компонентов среды общим размером в 50 МБ, что довольно необычно для вредоносных программ.
Backdoor.Tidserv имеет компонентную структуру, что позволяет ему подгружать новые модули и сразу же встраивать их в процессы ОС. В более ранней версии Tidserv модуль serf332 использовался для сетевых операций, таких как, например, автоклики и рекламные всплывающие окна. Для их реализации используются COM-объекты открытия страниц и анализа их содержимого. Недавно эксперты Symantec обнаружили, что Tidserv начал скачивать для использования новый модуль с названием cef32. Этот новый модуль имеет тот же функциональность, что и serf332, однако он также требует наличия библиотеки cef.dll, являющейся частью CEF. Как правило, это означает, что на зараженную систему требуется загрузить все компоненты CEF объёмом около 50 МБ.
За период с 4 по 21 марта число скачиваний CEF значительно возросло, и хотя специалисты не могут утверждать, что это результат активности Tidserv, однако, если этот рост действительно связан именно с атакой, то можно получить представление о её масштабах.
CEF предоставляет функции управления веб-браузером для встраивания его в приложения. Библиотеки CEF обеспечивают весь спектр необходимых для работы браузера функций, таких как разбор HTML-кода или разбор и запуск JavaScript.
Использование программной среды CEF позволяет Tidserv снять с себя реализацию большей части своего «браузерного» функционала и возложить его исполнение на библиотеки CEF. Таким образом, модули вредоносной программы становятся меньше, а расширять их функционал оказывается проще. Оборотной же стороной медали стала необходимость загрузки библиотеки cef.dll. Ссылка для загрузки zip-архива с CEF «вшита» непосредственно в исполняемый код модуля, и любое изменение источника, таким образом, потребует обновления и самого модуля.
Авторы Chromium Embedded Framework (CEF) ни в коей мере не рассчитывали на использование своего продукта в криминальных целях, и предпринимают и будут предпринимать все возможные действия, чтобы пресечь подобные попытки. Именно поэтому с сайта Google Code была удалена библиотека, использованная злоумышленниками при создании этого вируса, и изучаются способы её предоставления пользователям лишь в максимально защищённом от подобных угроз исполнении.
Специалисты компании Symantec продолжают отслеживать эволюцию таких угроз, как Tidserv. Для обеспечения наилучшей защиты рекомендуется использовать передовые разработки компании.
версия для печати
|
SMS
|
|
Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.
|
Смотрите также
|
|
30 августа 2013 г
• Lenovo расширяет ассортимент бюджетных ноутбуков в Украине
• WEXLER.TAB 7200 – новое поколение бюджетных производительных планшетов
• На IFA 2013 Samsung представит новые UHD-дисплеи
• Skype исполнилось 10 лет
• Видеорегистратор КАРКАМ QS3 Eco с широким набором функций
• Новая карта Украины на "Яндексе"
29 августа 2013 г
• Foxconn выпускает новые серии блоков питания
• Линзы Carl Zeiss и Sony G Lens для объективов с байонетом E
• DVR SPORT GOLD и DVR SPORT SILVER: две новинки от GOCLEVER
• LG представляет изогнутый CURVED OLED-телевизор в странах ЕС
• Мощный резерв: МУК выводит на рынок дизель-генераторы
• Новая серия коммутаторов S6000 от Dell Networking
• Новая версия MySQL Workbench 6.0
28 августа 2013 г
• Gamescom 2013: как это было
• Храните книги на Dropbox, читайте – на PocketBook Touch Lux
• Видеорегистратор КАРКАМ Q5N снимает даже в темноте
• Первый президент Украины открыл эру BIG DATA
• VMware упрощает ИТ-поддержку мобильных сотрудников
• ABBYY выиграла суд против Nuance о нарушении прав на интеллектуальную собственность
• TP-LINK открывает Южный региональный офис в Украине
|