Обнаружена связь между руткитами TDSS и ZeroAccess
🕛 20.09.2013, 13:28
Trend Micro обнаружила факты, указывающие на прямую связь между этими семействами вредоносного ПО. Уже много было сказано о руткитах TDSS и ZeroAccess, а также об их сходстве. Исследователи из Trend Micro обнаружили нечто, что может указывать на прямую связь между этими семействами вредоносного ПО.
Возможности руткитов TDSS и ZeroAccess хорошо задокументированы. Оба вредоноса используют пиринговую связь, а посылаемый ими трафик зашифрован методом кодирования base64 и состоит из «мусорных» символов. Кроме того, обе программы нацелены на осуществление кликфрода.
По словам исследователей, TDSS и ZeroAccess поддерживают пиринговые сети с похожими функциями, но реализованы по-разному. ZeroAccess инфицирует COM-объекты и service.exe, тогда как TDSS поражает MBR. Примечательно то, что, при обнаружении на компьютере жертвы TDSS, ZeroAccess деактивирует его. Из этого можно сделать вывод, что руткиты созданы соперничающими разработчиками и распространяются злоумышленниками, враждующими между собой.
Тем не менее, исследователи обнаружили, что некоторые новые версии TDSS и сравнительно старая версия ZeroAccess одновременно использовали один и тот же домен. Эксперты считают, что модуль, содержащий алгоритм генерации доменного имени, который использовался в более ранней версии ZeroAccess, был адаптирован для новых версий TDSS, в частности, для DGAv14. Однако, по словам исследователей, это не обязательно должно свидетельствовать о сотрудничестве между разработчиками обоих руткитов.
«Модуль DGA мог быть получен от сторонних источников, и/или разработчики TDSS получают деньги, используя составляющие ZeroAccess», - сообщили в Trend Micro.