|
 |
Новости
|
|
29 марта 2013 г
Бэкдор Tidserv использует платформу, разработанную Google
Корпорация Symantec сообщает подробности о сложной активной угрозе Tidserv, которая использует функционал руткита, вследствие чего обнаружить ее крайне сложно. Для функционирования вредоносной программе необходима среда Chromium Embedded Framework, поэтому она дополнительно закачивает на заражённый компьютер порядка 50 МБ.
Tidserv (или TDL) – это сложная угроза, которая маскируется себя в системе с помощью руткит-технологий. Будучи обнаруженной еще в 2008 году, она остается активной до сих пор. Распространяемый сейчас в интернете вариант Tidserv использует в своей работе программную платформу Chromium Embedded Framework (CEF). И хотя это не первый случай, когда злоумышленники используют легитимное ПО в своих целях, в данном случае для корректной работы вируса требуется загрузка всех компонентов среды общим размером в 50 МБ, что довольно необычно для вредоносных программ.
Backdoor.Tidserv имеет компонентную структуру, что позволяет ему подгружать новые модули и сразу же встраивать их в процессы ОС. В более ранней версии Tidserv модуль serf332 использовался для сетевых операций, таких как, например, автоклики и рекламные всплывающие окна. Для их реализации используются COM-объекты открытия страниц и анализа их содержимого. Недавно эксперты Symantec обнаружили, что Tidserv начал скачивать для использования новый модуль с названием cef32. Этот новый модуль имеет тот же функциональность, что и serf332, однако он также требует наличия библиотеки cef.dll, являющейся частью CEF. Как правило, это означает, что на зараженную систему требуется загрузить все компоненты CEF объёмом около 50 МБ.
За период с 4 по 21 марта число скачиваний CEF значительно возросло, и хотя специалисты не могут утверждать, что это результат активности Tidserv, однако, если этот рост действительно связан именно с атакой, то можно получить представление о её масштабах.
CEF предоставляет функции управления веб-браузером для встраивания его в приложения. Библиотеки CEF обеспечивают весь спектр необходимых для работы браузера функций, таких как разбор HTML-кода или разбор и запуск JavaScript.
Использование программной среды CEF позволяет Tidserv снять с себя реализацию большей части своего «браузерного» функционала и возложить его исполнение на библиотеки CEF. Таким образом, модули вредоносной программы становятся меньше, а расширять их функционал оказывается проще. Оборотной же стороной медали стала необходимость загрузки библиотеки cef.dll. Ссылка для загрузки zip-архива с CEF «вшита» непосредственно в исполняемый код модуля, и любое изменение источника, таким образом, потребует обновления и самого модуля.
Авторы Chromium Embedded Framework (CEF) ни в коей мере не рассчитывали на использование своего продукта в криминальных целях, и предпринимают и будут предпринимать все возможные действия, чтобы пресечь подобные попытки. Именно поэтому с сайта Google Code была удалена библиотека, использованная злоумышленниками при создании этого вируса, и изучаются способы её предоставления пользователям лишь в максимально защищённом от подобных угроз исполнении.
Специалисты компании Symantec продолжают отслеживать эволюцию таких угроз, как Tidserv. Для обеспечения наилучшей защиты рекомендуется использовать передовые разработки компании.
 версия для печати
|
SMS
|
|
Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.
|
Смотрите также в рубрике Корпоративные решения
|
|
18 октября 2013 г
• Обновление Kaspersky Security для SharePoint Server
• UserGate Web Filter с глубоким анализом контента
17 октября 2013 г
• Android-троянец скрывается от антивирусов, используя очередную уязвимость
• Седьмая версия продуктов ESET NOD32 Antivirus и ESET Smart Security
16 октября 2013 г
• «Лаборатория Касперского» совершенствует защиту для мобильных устройств
• Autodesk приобретает технологии Graitec по проектированию конструкций
15 октября 2013 г
• Horizon – платформа браузерных расширений для операторов мобильной связи
• Mail.Ru Group празднует 15-летие
14 октября 2013 г
• Canon представит свои IP-камеры на выставке «БЕЗПЕКА 2013»
11 октября 2013 г
• SAP И Samsung объединяют усилия для безопасного развертывания корпоративных систем
• MTV EXIT объявляет конкурс идей ИT-проектов ChallengeSlavery
• Биометрические технологии «Техносерв Украина» – на выставке «БЕЗПЕКА 2013»
10 октября 2013 г
• Ультракомпактные серверы приложений WD Sentinel с функциями сетевого хранилища
• UserGate Proxy & Firewall 6.2 с антивирусным модулем и поддержкой ГОСТ-шифрования
• Fortinet анонсирует сверхбыстрый межсетевой экран для центров обработки данных
• Cisco приобрела компанию Sourcefire
9 октября 2013 г
• Новая модель сотрудничества "Маркета" с интернет-магазинами
• При покупке Visual Studio – минус 10 % и выходные в Европе
• «Лаборатория Касперского» обновила решение для почтовых серверов на Microsoft Exchange
• McAfee предлагает решение для защиты от современных киберугроз
|
