Сотрудник
"Лаборатории Касперского" Сергей Голованов сообщает в блоге о том, что
новая версия руткита TDSS, также известного как Alureon и TDL4, способна
инфицировать новые системы при помощи нескольких способов.
Первый способ состоит в заражении съемных дисков специальным файлом,
который будет запускаться каждый раз при подключении устройства к
компьютеру. Этот способ был популярен в течение многих лет и
использовался червями, включая Conficker. Нет ничего необычного в том,
что TDSS использует данный способ.
Второй способ заключается в
распространении вируса через локальные сети. Руткит создает ложный
DHCP-сервер и ожидает, пока одна из машин осуществит запрос на получение
IP адреса. При получении запроса, приложение отправляет компьютеру
действительный IP-адрес и IP-адрес контролируемого злоумышленниками DNS
сервера. Затем, DNS-сервер перенаправляет пользователя на вредоносный
сайт.
«После этих действий, при попытке посетить какой-либо Web
сайт, пользователь перенаправляется на вредоносный сайт, где ему
предлагается обновить версию браузера», как сообщает Голованов.
«Пользователь не сможет зайти на страницу, пока не согласится установить
«обновление»".
В конце прошлого года TDSS приобрел способность
инфицировать 64-разрядные версии Microsoft Windows, минуя политику
подписи кода на уровне ядра ОС. По оценкам экспертов компании Prevx, на
сегодняшний день TDSS является одним из самых опасных руткитов. Он
используется в качестве «бэкдора» для установки и обновления кейлогеров и
других типов вредоносного ПО на зараженном компьютере и не
обнаруживается большинством антивирусов. http://www.hackzone.ru/news/view/id/9149/
