Бэкдор Tidserv использует платформу Google

10

Корпорация Symantec сообщает о сложной активной угрозе Tidserv (TDL), которая использует функционал руткита, вследствие чего обнаружить ее крайне сложно. Для функционирования вредоносной программе необходима среда Chromium Embedded Framework (CEF), поэтому она дополнительно закачивает на заражённый компьютер порядка 50 Мбайт.

Статистика скачиваний CEF за период с 4 по 21 марта Статистика скачиваний CEF за период с 4 по 21 марта Backdoor.Tidserv имеет компонентную структуру, что позволяет ему подгружать новые модули и сразу же встраивать их в процессы ОС. В более ранней версии Tidserv модуль serf332 использовался для сетевых операций, таких как, например, автоклики и рекламные всплывающие окна. Для их реализации используются COM-объекты открытия страниц и анализа их содержимого. Недавно эксперты Symantec обнаружили, что Tidserv начал скачивать для использования новый модуль с названием cef32.

За период с 4 по 21 марта число скачиваний CEF значительно возросло, и хотя специалисты не могут утверждать, что это результат активности Tidserv, однако, если этот рост действительно связан именно с атакой, то можно получить представление о её масштабах.

CEF предоставляет функции управления Web-браузером для встраивания его в приложения. Библиотеки CEF обеспечивают весь спектр необходимых для работы браузера функций, таких как разбор HTML-кода или разбор и запуск JavaScript.

Использование программной среды CEF позволяет Tidserv снять с себя реализацию большей части своего «браузерного» функционала и возложить его исполнение на библиотеки CEF. Таким образом, модули вредоносной программы становятся меньше, а расширять их функционал оказывается проще. Оборотной же стороной медали стала необходимость загрузки библиотеки cef.dll. Ссылка для загрузки zip-архива с CEF «вшита» непосредственно в исполняемый код модуля, и любое изменение источника, таким образом, потребует обновления и самого модуля.

Понятно, что авторы Chromium Embedded Framework  и в коей мере не рассчитывали на использование своего продукта в криминальных целях. Symantec сообщает о попытках Google предотвратить подобные действия. В частности, именно поэтому с сайта Google Code была удалена библиотека, использованная злоумышленниками при создании этого вируса, и изучаются способы её предоставления пользователям лишь в максимально защищённом от подобных угроз исполнении.

Специалисты компании Symantec продолжают отслеживать эволюцию таких угроз, как Tidserv. Для обеспечения наилучшей защиты они рекомендуют использовать передовые антивирусные разработки.


Загрузка...