Новый вариант вредоносной программы TDL4 нагоняет рекламный трафик в сети

19.09.2012 | 10:55
Новый вариант вредоносной программы TDL4 нагоняет рекламный трафик в сети
Поставщик решений для обеспечения ИТ-безопасности Damballa говорит об обнаружении вредоносного интернет-трафика, который, как полагают специалисты, генерируется новым вариантом сложного вредоносного программного обеспечения TDL4.

Новая угроза, имеющая оригинальное название DGA v14, довольно опасна и на счету вредоноса уже около 250 000 зараженных компьютеров. Вредонос специализируется на заражении компьютеров работников компаний, входящих в список Fortune 500, а также правительственных агентств и интернет-провайдеров.

Как рассказали в Damballa, их программы-сенсоры, установленные в сетях различных сетевых операторов, с начала июля этого года стали фиксировать DNS-запросы с несуществующих доменов. Как правило, такой трафик указывает на наличие в сети компьютеров, зараженных вредоносными программами, использующими DGA-алгоритм (domain generation algorithm).

Некоторые авторы вредоносного ПО применяют DGA для маскировки командных серверов, управляющих ботсетями, и затруднения обнаружения этих серверов специалистами. DGA генерируют определенное количество вымышленных доменных имен с заданным временным интервалом, к которым вредонос создает фиктивные подключения. Так как сами атакующие знают, какие домены фиктивные, а какие - нет, то они могут задавать несколько реальных доменов, на которых висят контрольные серверы, раздающие команды для управления вредоносной сетью.

Кроме того DGA-алгоритм позволяет злоумышленниками менять по требованию список реальных доменов, чтобы менять адреса командных серверов.

В процессе мониторинга эксперты Damballa создали несколько собственных доменов, которые вредонос принял за компьютеры жертвы и разместил на них свой код, что позволило специалистам изучить поведение TDL4 и изучать его трафик. Как показало исследование, новый вариант вредоноса применялся для нагона рекламного трафика за счет показа сторонней рекламы посетителям популярных сайтов facebook.com, doubleclick.net, youtube.com, yahoo.com, msn.com и google.com. Также удалось установить целевые домены, зарегистрированные злоумышленниками для хостинга командных серверов.

Червь TDL4 или TDSS сейчас считается одним из самых сложных образцов вредоносного ПО, но при этом он не относится к так называемому кибероружию - червям Stuxnet, Flame, Gauss и другим. По конструкции TDL4 представляет собой буткит (от англ Boot Rootkit), так как он пытается попасть в MBR-сектор жесткого диска компьютера. MBR-запись считывается еще до того, как начинается загрузка операционной системы.
TDL4, рекламный трафик
По материалам CyberSecurity.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код