Jeden z najsofistikovanejších rootkitov súčasnosti - TDL4 bol opäť vylepšený

Analýza najnovšej verzie rootkita TDL4, známeho tiež ako TDSS, či Alureon, ukazuje, že jeho súčasti vrátane ovládača v režime jadra i ovládača používateľského režimu boli od základov prepísané. Vyplýva to zo zistení analytikov spoločnosti ESET.

Rozsiahla aktualizácia kódu rootkita môže značiť spoluprácu autorov malware s ďalšou, či úplne novou skupinou kybernetických zločincov.

V novej verzii sa TDL4 snaží ostať ukrytý pred zrakom bezpečnostného softvéru, a tak vytvára skrytý oddiel na konci disku infikovaného počítača, ktorý nastaví ako aktívny. Tak zaistí vykonanie svojho kódu ešte pred štartom operačného systému. Tento oddiel je vybavený pokročilým súborovým systémom, ktorý kontroluje integritu jednotlivých komponentov TDL4. Ak je niektorá časť poškodená alebo chýba je odstránená.

TDL4 naďalej využíva silné šifrovanie pri komunikácii medzi infikovanými počítačmi a riadiacimi servermi, čo v podstate znemožňuje jeho monitorovanie. V júni odborníci spoločnosti Kaspersky odhadli, že tento rootkit infikoval viac než 4,5 milióna počítačov za tri mesiace.

Zdroj: theregister.co.uk