Угроза Tidserv с загрузкой Chromium Embedded Framework
Корпорация Symantec обнародовала подробности работы сложной активной угрозы Tidserv (или TDL), которая маскирует себя в системе с помощью руткит-технологий, и по этой причине обнаружить ее крайне сложно. Будучи обнаруженной еще в 2008 г., она остается активной до сих пор. Распространяемый сейчас в Интернете вариант Tidserv использует в своей работе программную платформу Chromium Embedded Framework (CEF). И хотя это не первый случай, когда злоумышленники используют легитимное ПО в своих целях, в данном случае для корректной работы вируса требуется загрузка всех компонентов среды общим размером в 50 Мбайт, что довольно необычно для вредоносных программ.
Backdoor.Tidserv имеет компонентную структуру, что позволяет ему подгружать новые модули и сразу же встраивать их в процессы ОС. В более ранней версии Tidserv модуль serf332 использовался для сетевых операций, таких как автоклики и рекламные всплывающие окна. Для их реализации используются COM-объекты открытия страниц и анализа их содержимого. Недавно эксперты Symantec обнаружили, что Tidserv начал скачивать для использования новый модуль с названием cef32. Этот модуль имеет тот же функционал, что и serf332, однако требует наличия библиотеки cef.dll, являющейся частью CEF. Как правило, это означает, что на зараженную систему требуется загрузить все компоненты CEF объемом около 50 Мбайт.
За период с 4 по 21 марта число скачиваний CEF резко выросло. Специалисты не могут однозначно отнести этот рост на счет активности Tidserv, однако если он действительно связан именно с атакой, это дает представление о ее масштабах.
CEF предоставляет функции управления Web-браузером для встраивания его в приложения. Библиотеки CEF обеспечивают все необходимые для работы браузера функции, таких как разбор HTML-кода или разбор и запуск JavaScript. Использование программной среды CEF позволяет Tidserv снять с себя реализацию большей части своего «браузерного» функционала и возложить его исполнение на библиотеки CEF. Таким образом, модули вредоносной программы становятся меньше, а расширять их функционал оказывается проще. Оборотной стороной медали стала необходимость загрузки библиотеки cef.dll. Ссылка для загрузки zip-архива с CEF «вшита» непосредственно в исполняемый код модуля, и любое изменение источника потребует обновления и самого модуля.
Авторы Chromium Embedded Framework (CEF) ни в коей мере не рассчитывали на использование своего продукта в криминальных целях и предпринимают и будут предпринимать все возможные действия, чтобы пресечь подобные попытки. Именно поэтому с сайта Google Code была удалена библиотека, использованная злоумышленниками при создании этого вируса, и изучаются способы ее предоставления пользователям лишь в максимально защищенном от подобных угроз исполнении.