A TDSS nevű fejlett, rejtőzködő kártevőt eddig elsősorban netes keresési
szolgáltatások eredménylistájának kattintás-hamisítással történő
manipulálására, különféle spammel és kamu programokkal kapcsolatos,
hamis terméket ajánló reklámok terjesztésére - illetve más fertőzések
elrejtésére használták fel a kiberbűnözők.

A neten már legalább két éve terjedő, Alureon néven is említett
"rootkit" fertőzés egyik jellegzetessége, hogy a számítógép
merevlemezének indító, ún. boot-szektorába írja be magát. A gép így már
a Windows betöltődése előtt elkezdi futtatni az ártó kódot, ami
megnehezíti a vírusincidens felfedezését és az érintett gépek
megtisztítását - hozzájárulva ezzel a TDSS kártevőcsalád tartós sikeréhez.

A modern, Windows 7 és Vista rendszerekben azonban működik egy védelmi
mechanizmus, amely - különösen a 64-bites processzorokra írott változat
esetén - megakadályozni hivatott ezt a hacker-trükköt. A rendszermagba
betöltött, kernel-szintű fájlok valódiságának kötelező vizsgálata
digitális aláírás és ellenőrző-összeg segítségével történik, így jó
eséllyel kizárható a rootkit jellegű, rejtett módosítások jelentette
kockázat.

Saját magának olvassa a névsort

A Sunbelt biztonsági cég laborja nemrég azt találta, hogy a legújabb,
TDL4 fejlesztési szintű TDSS kártevő-változat meglepő módon képes
kikerülni a fenti védelmet. A boot-blokkból futó kódrészlet a memóriában
módosítja a rendszer betöltését és saját maga írja elő, hogy mit
szükséges vagy nem szükséges ellenőrzni.

A Windows rendszer emiatt azt hiszi, hogy nem a szokásos munkaállomás
környezettel, hanem a WinPE előtelepítő csomaggal van dolga - amire nem
vonatkozik a hitelesítés követelménye! A trükk segítségével a Microsoft
"kdcom.dll" fájljának meghamisított, kártékonnyá tett változata be tud
töltődni - így az MBR indító-szektorból a futó Windows alá átköltöző
rootkit továbbra is aktív marad és most már a miniport eszközmeghajtó
kihasználásával álcázza magát.

A TDL4 kártevőben a tartós észrevétlenséget egy kódvisszafejtés elleni
megoldás is hivatott biztosítani: a rootkit üres lépésekre cseréli a
víruselemzők által használt ún. debugger szoftverek utasításait, így az
eredmény értelmezhetetlen lesz és a fertőzés felismerésében, működésének
megértésében csak hosszadalmas kézimunkával lehet eredményt elérni.

Rendkívüli bevételt biztosít a kreativitás

Az új felfedezés megerősíti a Kaspersky cég víruskutatóinak korábbi
elemzését, amely szerint a TDSS kártevő-család az egyik legnyilvánvalóbb
példája a szervezett kiberbűnözők képességeinek. Az ártó szoftvert jó
képességű, motivált és innovatív programozók készítik, akik folyamatosan
hibamentesítik, továbbfejlesztik a kódot, hogy azzal megkerülhessék a
hagyományos vírusirtókat és az új heurisztikus védelmi mechanizmusokat.

A fertőzött zombi gép és azt vezérlő ún. C&C szerver közti kommunikáció
titkosítva van, így nehéz elemezni egy fertőzött helyi hálózaton a TDSS
működésére utaló csomagokat. A kiváló minőségű rootkit komponens nemcsak
a kártékony fájlokat, de legtöbbször magát a fertőzés tényét is képes
tartósan elfedni a gépeken - így a hackerek hosszú ideig birtokolhatják
és kisebb szegmensenként bérbe is adhatják a botnetjüket.

A TDSS család esetén a nagy profitot elsősorban az ún. SEO-bűnözés, a
webes keresések szerver oldali relevancia-listájának illegális
eszközökkel végzett manipulálása hozza. Ezzel lehet a Google, vagy a
Yahoo! találati eredményei között minél előbbre hozni az olyan
weboldalakat, amelyek csak látszólag tisztességesek, valójában hamis,
illegális árukat forgalmaznak, adathalászattal vagy akár kártevők
terjesztésével foglalkoznak!

www.virushirado.hu


(2010. november 18.)

     - ThreatPost nyomán -