Damballa: Обнаружен новый вид вредоноса TDL4 нагоняющий рекламный трафик в сети

DamballaСпециалистами компании Damballa был обнаружен вредоносный интернет-трафик. По предположениям специалистов, трафик генерируется новым вариантом вредоносного программного обеспечения TDL4. Новая угроза - DGA v14, довольно опасна, а на счету вредоноса уже около 250 000 зараженных компьютеров. Вредонос специализируется на заражении компьютеров работников компаний, входящих в список Fortune 500, а также правительственных агентств и интернет-провайдеров.

Программы-сенсоры компании Damballa, установленные в сетях различных сетевых операторов, с начала июля этого года стали фиксировать DNS-запросы с несуществующих доменов. Как правило, такой трафик указывает на наличие в сети компьютеров, зараженных вредоносными программами, использующими DGA-алгоритм (domain generation algorithm).

Некоторые авторы вредоносного ПО применяют DGA для маскировки командных серверов, управляющих ботсетями, и затруднения обнаружения этих серверов специалистами. DGA генерируют определенное количество вымышленных доменных имен с заданным временным интервалом, к которым вредонос создает фиктивные подключения. Так как сами атакующие знают, какие домены фиктивные, а какие - нет, то они могут задавать несколько реальных доменов, на которых висят контрольные серверы, раздающие команды для управления вредоносной сетью.

DGA-алгоритм позволяет злоумышленниками менять по требованию список реальных доменов, чтобы менять адреса командных серверов.

В процессе мониторинга эксперты Damballa создали несколько собственных доменов, которые вредонос принял за компьютеры жертвы и разместил на них свой код. Это позволило специалистам изучить поведение TDL4 и его трафик. Исследование показало, что новый вариант вредоноса применялся для нагона рекламного трафика за счет показа сторонней рекламы посетителям популярных сайтов:

  • facebook.com;
  • doubleclick.net;
  • youtube.com;
  • yahoo.com;
  • msn.com;
  • google.com.


Также удалось установить целевые домены, зарегистрированные злоумышленниками для хостинга командных серверов.

Червь TDL4 или TDSS сейчас считается одним из самых сложных образцов вредоносного ПО, но при этом он не относится к так называемому кибероружию - червям Stuxnet, Flame, Gauss и другим. По конструкции TDL4 представляет собой буткит, так как он пытается попасть в MBR-сектор жесткого диска компьютера. MBR-запись считывается еще до того, как начинается загрузка операционной системы.


Обновлено (19.09.2012 03:03)