Новая модификация BackDoor.Tdss мешает работе антивирусов
Компания «Доктор Веб» сообщила о появлении новой модификации бэкдора — одного из компонентов крупной и активно развивающейся бот-сети Tdss. В компонентах вредоносных программ, используемых для того, чтобы заставить бот-сеть Tdss работать, применяется множество современных методов защиты от обнаружения, а также техник, затрудняющих анализ вредоносных файлов. Среди них, в частности, полиморфные упаковщики, руткит-методы сокрытия в системе. Так, в арсенале нового бэкдора, найденного специалистами компании «Доктор Веб», есть функция, позволяющая отключать файловые мониторы антивирусов. Существуют также методы сокрытия от обнаружения некоторыми популярными анти-руткитами.
В основной функционал новых модификаций BackDoor.Tdss входит загрузка других вредоносных модулей с заранее подготовленных серверов. После этого бэкдор либо запускает их на исполнение, либо внедряет в память системных процессов. Распространяется BackDoor.Tdss несколькими популярными в последнее время способами – с использованием эксплуатации ряда уязвимостей Windows и в виде якобы кодеков для просмотра видеофайлов.
Для проверки системы на наличие в активном состоянии BackDoor.Tdss и ее корректного лечения компания «Доктор Веб» выпустила горячее обновление сканера Dr.Web с графическим интерфейсом. В этой версии сканера доработан антируткит-модуль Dr.Web Shield, который позволяет обнаруживать в системе и лечить последствия действий всех известных модификаций BackDoor.Tdss на всех поддерживаемых Dr.Web версиях ОС семейства Windows.