BackDoor.Tdss.565


Описание:
Троян, предназначенный для управления удаленным компьютером через сеть или интернет. Использует руткит-технологии. Для обеспечения своей последующей автозагрузки заражает системный драйвер, обслуживающий физический диск, на котором установлена ОС. Руткит-модуль скрывает все изменения в системе и осуществляет внедрение компонентов пользовательского режима в процессы согласно файлу конфигурации.

Инсталляция:
При инсталляции внедряет свой код в системный процесс, откуда создает и запускает временный сервис с именем tdlserv:

[HKLM\system\currentcontrolset\services\tdlserv]
Imagepath=" \??\C:\DOCUME~1\\LOCALS~1\Temp\3.tmp"
Type=1


Данный драйвер для обеспечения своей последующей автозагрузки заражает системный драйвер обслуживающий физический диск, где находится ОС (например, atapi.sys).
Оригинальные байты из зараженного драйвера и сам основной код руткита сохраняются в последних секторах диска. Там же организует скрытый шифрованный виртуальный диск. На этот диск записываются компоненты пользовательского режима tdlcmd.dll, tdlwsp.dll и файл конфигурации config.ini.
Руткит модуль скрывает все изменения в системе и осуществляет внедрение компонент пользовательского режима в процессы согласно файлу конфигурации.

Модуль TDLCMD.DLL:
Модуль, отвечающий за обновления вредоносной программы и её компонент с управляющего сервера.
Из собственного имени извлекает путь к виртуальному диску, созданному руткит-драйвером, и считывает данные из файла config.ini об управляющих серверах, идентификаторе бота и т.д.
Получает информацию о версии системы, языке системы и браузере по-умолчанию. Эти данные представляются в виде строки:

4513c055-11f2-8278-7863-3d82b9b804c8|10002|0|3.0|3.1|5.1 2600 SP1.0|ru-ru|iexplore
(botid|affid|Subid|bot_version|loader_version|system_version|locale|browser)


Строка сначала шифруется RC4 с ключом в виде имени сервера (например: h3456345.cn), затем кодируется в base64. И полученный запрос отправляется на сервер.
В ответ получает зашифрованный набор инструкции и исполняет их. Инструкции представляют собой имена функций в загруженных модулях вредоносной программы и их параметры.

Модуль TDLWSP.DLL внедряется согласно файлу конфигурации во все процессы, но работает только в тех именах, которые содержат подстроки:

  • explore;
  • firefox;
  • chrome;
  • opera;
  • safari;
  • netscape;
  • avant;
  • browser.

Перехватывает функцию mswsock.dll!WSPStartup.
В обработчике перехваченной функции WSPStartup, подменяет в таблице SPI (service provider interface) процедуры WSPSend, WSPRecv и WSPCloseSocket на свои. Т.о. работая как классический LSP (Layered Service Provider)

Теперь вредоносная программа полностью контролирует пользовательские запросы и способна подменять результаты поисковых машин и перенаправлять пользователя на вредоносные сайты. Информация о перенаправлении и реакции на ключевые слова приходит от командного сервера.

Методы борьбы:
Самый простой и надежный способ - это использование Dr. Web Live CD. Второй вариант - сканирование системы в безопасном режиме (желательно Dr.Web CureIt). И третий вариант. Заходим в реестр и вручную проверяем все ключи/значения, восстанавливаем базовые настройки, удаляем значения установленные трояном. Перезапускаем компьютер.
Третий способ самый трудоемкий и требует знаний, достаточных для того, чтоб разобраться со значениями реестра.

P.S. При невозможности запустить Редактор реестра и/или Диспетчер задач (любым способом), происходит их блокировка (появляется окно с сообщением "Редактирование реестра запрещено администратором системы" и/или "Диспетчер задач отключён администратором"), рекомендуется использовать программу, TskMngr && Regedit enableR с помощью которой возможно восстановить право на запуск.