Symantec: Бэкдор Tidserv использует платформу Google


SymantecКорпорация Symantec раскрывает подробности об угрозе Tidserv, использующей функционал руткита, вследствие чего обнаружить ее крайне сложно. Для успешного функционирования вредоносной программе необходима среда Chromium Embedded Framework, поэтому она дополнительно закачивает на заражённый компьютер около 50 Мб.

Tidserv (или TDL) – сложная угроза, обнаруженная еще в 2008 году и сохраняющая свою активность до сих пор благодаря маскировке в системе с помощью руткит-технологий. Действующий в настоящее время вариант Tidserv использует в своей работе программную платформу Chromium Embedded Framework (CEF). Данный вредонос для своей корректной работы загружает компонентов на общий размер в 50 Мб, что довольно необычно для вредоносных программ.

Для загрузки всех необходимых компонентов и внедрения их в процессы ОС Backdoor.Tidserv использует встроенную в себя компонентную структуру. В более ранних версиях Tidserv модуль serf332 использовался для сетевых операций, таких как автоклики и рекламные всплывающие окна. Для их реализации используются COM-объекты открытия страниц и анализа их содержимого. В последней версии, Tidserv начал скачивать для использования новый модуль с названием cef32. Этот новый модуль имеет тот же функционал, что и serf332, однако он требует наличия библиотеки cef.dll, являющейся частью CEF. Это означает, что на зараженную систему требуется загрузить все компоненты CEF.

С 4 по 21 марта число скачиваний CEF значительно возросло, и если этот рост связан с атакой, то можно получить представление о её масштабах.

Статистика скачиваний CEF с 4 по 21 марта

CEF предоставляет функции управления Web-браузером для встраивания его в приложения. Библиотеки CEF обеспечивают весь спектр необходимых для работы браузера функций, таких как разбор HTML-кода или разбор и запуск JavaScript.

Использование программной среды CEF позволяет Tidserv снять с себя реализацию большей части своего "браузерного" функционала и возложить его исполнение на библиотеки CEF. Таким образом, модули вредоносной программы становятся меньше, а расширять их функционал оказывается проще. Также появилась необходимость загрузки библиотеки cef.dll. Ссылка для загрузки zip-архива с CEF "вшита" в исполняемый код модуля, и любое изменение источника, таким образом, потребует обновления и самого модуля.

Авторы Chromium Embedded Framework (CEF) не рассчитывали на использование своего продукта в криминальных целях, и предпринимают и будут предпринимать все возможные действия, чтобы пресечь подобные попытки. Первое что они сделали, это удалили с сайта Google Code библиотеку, используемую злоумышленниками при создании этого вируса, а также изучают способы её предоставления пользователям лишь в максимально защищенном от подобных угроз исполнении.


Обновлено (30.03.2013 10:54)