Алуреон
Троян TDL-4

Alureon (также известный как TDSS или TDL-4 ) — троян и руткит, созданный для кражи данных путем перехвата сетевого трафика системы и поиска банковских имен пользователей и паролей, данных кредитных карт, информации PayPal, номеров социального страхования и других конфиденциальных пользовательских данных. [1] После серии жалоб клиентов Microsoft определила, что Alureon вызвал волну BSoD на некоторых 32-разрядных системах Microsoft Windows . Обновление MS10-015 [2] вызвало эти сбои, нарушив предположения, сделанные автором(ами) вредоносного ПО. [3] [4]

Согласно исследованию, проведенному Microsoft, Alureon был вторым по активности ботнетом во втором квартале 2010 года. [5]

Описание

Буткит Alureon был впервые обнаружен около 2007 года. [1] Персональные компьютеры обычно заражаются, когда пользователи вручную загружают и устанавливают троянское программное обеспечение. Известно, что Alureon был связан с мошенническим программным обеспечением безопасности , "Security Essentials 2010" . [2] Когда дроппер запускается, он сначала захватывает службу очереди печати (spoolsv.exe), чтобы обновить главную загрузочную запись и выполнить измененную процедуру загрузки. Затем он заражает низкоуровневые системные драйверы, такие как те, которые отвечают за операции PATA (atapi.sys), чтобы установить свой руткит .

После установки Alureon манипулирует реестром Windows , чтобы заблокировать доступ к диспетчеру задач Windows , Центру обновления Windows и рабочему столу. Он также пытается отключить антивирусное программное обеспечение. Известно также, что Alureon перенаправляет поисковые системы для совершения клик-мошенничества . Google предприняла шаги, чтобы смягчить это для своих пользователей, сканируя на наличие вредоносной активности и предупреждая пользователей в случае положительного обнаружения. [6]

Вредоносная программа привлекла значительное внимание общественности, когда программная ошибка в ее коде привела к сбою некоторых 32-разрядных систем Windows при установке обновления безопасности MS10-015. [2] Вредоносная программа использовала жестко закодированный адрес памяти в ядре, который изменился после установки исправления. Microsoft впоследствии изменила исправление, чтобы предотвратить установку при наличии заражения Alureon, [7] Автор(ы) вредоносной программы также исправили ошибку в коде.

В ноябре 2010 года пресса сообщила, что руткит развился до такой степени, что обходит обязательное требование подписи драйвера режима ядра 64-разрядных версий Windows 7. Он делал это, подрывая главную загрузочную запись , [8] что делало его особенно устойчивым к обнаружению и удалению антивирусным программным обеспечением на всех системах.

ТДЛ-4

TDL-4 иногда используется как синоним Alureon, а также является названием руткита , управляющего ботнетом.

Впервые он появился в 2008 году как TDL-1, обнаруженный «Лабораторией Касперского» в апреле 2008 года. Позже, в начале 2009 года, появилась версия два, известная как TDL-2. Через некоторое время после того, как TDL-2 стал известен, появилась версия три, которая была названа TDL-3. [9] Это в конечном итоге привело к появлению TDL-4. [10]

Журналисты часто отмечали его как «неуязвимый» в 2011 году, хотя его можно удалить с помощью таких инструментов, как TDSSKiller от Kaspersky . [11] Он заражает главную загрузочную запись целевой машины, что затрудняет его обнаружение и удаление. Основные достижения включают шифрование коммуникаций, децентрализованный контроль с использованием сети Kad , а также удаление других вредоносных программ . [12] [13]

Удаление

Хотя руткит, как правило, способен избегать обнаружения, косвенные доказательства заражения могут быть найдены путем проверки сетевого трафика с помощью анализатора пакетов или проверки исходящих соединений с помощью такого инструмента, как netstat . Хотя существующее программное обеспечение безопасности на компьютере иногда сообщает о рутките, он часто остается незамеченным. Может быть полезно выполнить автономное сканирование зараженной системы после загрузки альтернативной операционной системы, такой как WinPE , поскольку вредоносное ПО попытается предотвратить обновление программного обеспечения безопасности. Команда «FixMbr» консоли восстановления Windows и ручная замена «atapi.sys» могут потребоваться для отключения функциональности руткита до того, как антивирусные инструменты смогут найти и очистить заражение. [ необходима цитата ]

Различные компании создали отдельные инструменты, которые пытаются удалить Alureon. Два популярных инструмента — Microsoft Windows Defender Offline и Kaspersky TDSSKiller.

Аресты

9 ноября 2011 года прокурор США по Южному округу Нью-Йорка объявил об обвинениях против шести граждан Эстонии , арестованных эстонскими властями, и одного гражданина России в связи с операцией Ghost Click . [14] По состоянию на 6 февраля 2012 года двое из этих лиц были экстрадированы в Нью-Йорк за проведение сложной операции, в ходе которой Alureon использовался для заражения миллионов компьютеров. [15]

Смотрите также

Ссылки

  1. ^ ab "Описание угрозы Win32_Alureon - Microsoft Security Intelligence". microsoft.com. Март 2007 г. Архивировано из оригинала 10 февраля 2010 г. Получено 18 февраля 2010 г.
  2. ^ abc "Microsoft Security Bulletin MS10-015 - Important". Microsoft . 2010-03-17. Архивировано из оригинала 5 июня 2011 . Получено 2011-04-25 .
  3. ^ "MS10-015 Проблемы с перезапуском являются результатом заражения руткитом (threatpost)". 18 февраля 2010 г. Архивировано из оригинала 21.10.2012 . Получено 19.02.2010 .
  4. ^ "Дополнительная информация об Alureon". Symantec . Архивировано из оригинала 19 января 2009 г.
  5. ^ "Самые активные семейства ботнетов во 2Q10" (PDF) . Microsoft . стр. 24 . Получено 19 августа 2015 г. .
  6. ^ Берков, Джеймсон (2011-07-20). «Google предупреждает о массовой вспышке вредоносного ПО». Financial Post . Получено 25-11-2011 .
  7. ^ «Обновление — проблемы с перезагрузкой после установки MS10-015 и Alureon Rootkit». Центр реагирования на угрозы безопасности Microsoft. 17.02.2010.
  8. ^ Гудин, Дэн (2010-11-16). "Самый продвинутый руткит в мире проникает в 64-битную Windows". The Register . Архивировано из оригинала 21 ноября 2010 года . Получено 2010-11-22 .
  9. ^ "TDSS". Securelist от Kaspersky . 5 августа 2010 г.
  10. ^ Голованов, Сергей; Игорь Суменков (27 июня 2011 г.). "TDL4 – Top Bot". Securelist от Kaspersky . Securelist . Получено 19 мая 2020 г. .
  11. ^ Herkanaidu, Ram (4 июля 2011 г.). «TDL-4 неразрушим или нет?». Securelist от Kaspersky . securelist . Получено 19 мая 2020 г. .
  12. ^ Рейзингер, Дон (30 июня 2011 г.). "TDL-4: ботнет "неуязвим"? | Цифровой дом - CNET News". CNET . Получено 15 октября 2011 г. .
  13. ^ "'Indestructible' TDL-4 Botnet?". Techno Globes. 2 июля 2011 г. Архивировано из оригинала 12 октября 2011 г. Получено 16 марта 2016 г.{{cite web}}: CS1 maint: неподходящий URL ( ссылка )
  14. ^ «Операция Ghost Click: Международная кибергруппа, которая заразила миллионы компьютеров, демонтирована». FBI.gov . 9 ноября 2011 г. Получено 14 августа 2015 г.
  15. ^ Финкл, Джим (5 июля 2015 г.). «Вирус может отключить около 250 000 ПК». Reuters . Получено 14 августа 2015 г.
  • Инструмент TDSSKiller для обнаружения и удаления руткитов и буткитов, Лаборатория Касперского
    • Удаление TDSS, 6 июня 2011 г., TrishTech.com
  • Вирус: Win32/Alureon.A в Microsoft Security Intelligence
  • Backdoor.Tidserv в Symantec
Взято с "https://en.wikipedia.org/w/index.php?title=Alureon&oldid=1221433093"