Бэкдор Tidserv использует платформу Google

Бэкдор TidservСотрудники Symantec раскрыли подробности исследования сложного активного вируса Tidserv который применяет функционал руткита, что сильно осложняет его идентификацию. Tidserv (или TDL) был обнаружен еще в 2008 году, но и в настоящее время вредоносная утилита проявляет активность. В данный момент чаще других встречается модификация Tidserv, использующая систему Chromium Embedded Framework. Это не первый инцидент с использованием вирусами легитимного ПО, но в данном случае корректная работа вируса возможна только после загрузки всех модулей среды – порядка 50 мегабайт данных. Это довольно необычная схема для вредоносных приложений.

Backdoor.Tidserv обладает модульной структурой и в процессе деструктивной деятельности подгружает новые модули, встраивая их в системные процессы. Недавно специалисты выявили, что Tidserv начал использовать новый модуль cef32. Данный компонент по функциям аналогичен модулю, используемому ранее, но для работы ему необходима библиотека cef.dll (входит в состав Chromium Embedded Framework). Это, как правило, означает, что в инфицированную систему дополнительно загружается порядка 50 мегабайт данных, которые содержат компоненты CEF.

Платформа Chromium Embedded Framework предоставляет функционал управления обозревателем для интеграции его в программы. Именно библиотеки данной платформы и обеспечивают работоспособность всех необходимых функций (работа JavaScript, разбор кода HTML и т.д.).

Как пояснили эксперты, задействуя программную среду CEF, Tidserv избавляется от большей части «браузерных» функций. Компоненты вредоносной утилиты становятся меньше по объему, а процесс расширения функционала заметно облегчается. Ссылка на архив в формате zip с модулями Chromium Embedded Framework «вшита» в исполняемый код вредоносного модуля. Таким образом, изменение источника потребует обновление кода вируса.