Бэкдор Tidserv использует платформу Google

Бэкдор TidservСотрудники Symantec раскрыли подробности исследования сложного активного вируса Tidserv который применяет функционал руткита, что сильно осложняет его идентификацию. Tidserv (или TDL) был обнаружен еще в 2008 году, но и в настоящее время вредоносная утилита проявляет активность. В данный момент чаще других встречается модификация Tidserv, использующая систему Chromium Embedded Framework. Это не первый инцидент с использованием вирусами легитимного ПО, но в данном случае корректная работа вируса возможна только после загрузки всех модулей среды – порядка 50 мегабайт данных. Это довольно необычная схема для вредоносных приложений.

Backdoor.Tidserv обладает модульной структурой и в процессе деструктивной деятельности подгружает новые модули, встраивая их в системные процессы. Недавно специалисты выявили, что Tidserv начал использовать новый модуль cef32. Данный компонент по функциям аналогичен модулю, используемому ранее, но для работы ему необходима библиотека cef.dll (входит в состав Chromium Embedded Framework). Это, как правило, означает, что в инфицированную систему дополнительно загружается порядка 50 мегабайт данных, которые содержат компоненты CEF. Дабы обезопасить себя от подобных ситуаций используйте антивирусную программу причем лучше покупать лицензионное ПО.

Платформа Chromium Embedded Framework предоставляет функционал управления обозревателем для интеграции его в программы. Именно библиотеки данной платформы и обеспечивают работоспособность всех необходимых функций (работа JavaScript, разбор кода HTML и т.д.).

Как пояснили эксперты, задействуя программную среду CEF, Tidserv избавляется от большей части «браузерных» функций. Компоненты вредоносной утилиты становятся меньше по объему, а процесс расширения функционала заметно облегчается. Ссылка на архив в формате zip с модулями Chromium Embedded Framework «вшита» в исполняемый код вредоносного модуля. Таким образом, изменение источника потребует обновление кода вируса.

Понравился пост? Подпишись на обновления блога по Дизайн Мания RSSRSS, Дизайн Мания RSSEmail или Дизайн Мания RSStwitter!

Оставить комментарий
для статьи Бэкдор Tidserv использует платформу Google