Бекдор Tidserv використовує платформу Google

Співробітники Symantec розкрили подробиці дослідження складного активного вірусу Tidserv який застосовує функціонал руткита, що сильно ускладнює його ідентифікацію. Tidserv(чи TDL) був виявлений ще в 2008 році, але і нині шкідлива утиліта проявляє активність. В даний момент частіше за інших зустрічається модифікація Tidserv, що використовує систему Chromium Embedded Framework. Це не перший інцидент з використанням вірусами легітимного ПО, але в даному випадку коректна робота вірусу можлива тільки після завантаження усіх модулів середовища – близько 50 мегабайт даних. Це досить незвичайна схема для шкідливих застосувань.

Backdoor.Tidserv має модульну структуру і в процесі деструктивної діяльності підвантажує нові модулі, вбудовувавши їх в системні процеси. Нещодавно фахівці виявили, що Tidserv почав використати новий модуль cef32. Цей компонент по функціях аналогічний модулю, використовуваному раніше, але для роботи йому потрібна бібліотека cef.dll(входить до складу Chromium Embedded Framework). Це, як правило, означає, що в інфіковану систему додатково завантажується близько 50 мегабайт даних, які містять компоненти CEF. Щоб узабезпечити себе від подібних ситуацій використайте антивірусну програму причому краще купувати ліцензійне ПО.

Платформа Chromium Embedded Framework надає функціонал управління оглядачем для інтеграції його в програми. Саме бібліотеки цієї платформи і забезпечують працездатність усіх необхідних функцій(робота JavaScript, розбір коду HTML і так далі).

Як пояснили експерти, задіюючи програмне середовище CEF, Tidserv позбавляється від більшої частини браузерних функцій. Компоненти шкідливої утиліти стає менше за об’ємом, а процес розширення функціонала помітно полегшується. Посилання на архів у форматі zip з модулями Chromium Embedded Framework ушите у виконуваний код шкідливого модуля. Таким чином, зміна джерела зажадає оновлення коду вірусу.

Comments are closed.