Vorbim de operatiunea Aurora, vulnerabilitati, exploituri, spionaj, etc. in timp ce adevaratele pericole pentru utilizatorul de acasa se propaga invizibil pe net.

TDSS sau TDL este denumirea unei familii de rootkituri de ultima generatie. De cand a aparut exista un joc de-a soarecele si pisica intre producatorii rootkit-ului si cei care incerca sa identifice si sa elimine rootkitul de pe calculator. Actualizari au loc rapid dupa ce un produs reuseste sa identifice sau sa elimine rootkitul.

TDL3 este ultima generatie, a treia, a acestei familii. TDL3 ramane neidentificat de multi antivirusi, anti-rootkituri si trece cu usurinta de firewall-ul personal. TDL3 este in prezent cel mai stealth rootkit.

Instalarea nu are nimic spectaculos. Iei un crack de pe un site specializat sau unul de pe torente sau DC++, il executi, te bucuri de program (dar cel mai probabil nu) si bine inteles de rootkit & Co. Calculatorul tau devine un zombie si parte dintr-un botnet, fiind controlat de la distanta de raufacatori. Cautarile sunt redirectionate si esti agasat de popup-uri.

TDL3 reuseste sa scape de detectia euristica. Instalarea decurge in mai multe etape. In user mode reuseste sa treaca de firewall. Instalarea continua in kernel mode sau system mode (mod de operare al procesorului). Kernel este inima sistemului de operare si are control asupra orice misca in sistem. Codul este despachetat si un driver este infectat. In functie de configuratia calculatorului este infectat atapi.sys sau iastor.sys. Fiserele infectate au in continuare aceiasi dimensiune, tactica fiind folosita pentru a scapa de detectie. Infectarea driverului asigura lansarea automata a partii principale a rootkit-ului la pornirea sistemului de operare.

Codul principal al rootkitului este salvat in ultimul sector al hard discului. Portiunea hard discului unde este salvat codul este ascunsa de catre rootkit. Tot aici sunt salvate trei fisiere: tdlcmd.dll, tdlswp.dll,  config.ini plus alte fisiere descarcate de pe net.

Unele produse antivirus pot sa detecteze prezenta fisierelor tdlcmd.dll si tdlwsp.dl fara sa le inlature. Toolul dezvoltat de Kaspersky poate uneori sa inlature rootkitul: TDSSKiller. Alt produs care incearca sa tina pasul cu dezvoltarea TDSS este Dr.Web. Prevx promite detectia si eliminarea TDL.

Daca anul trecut detectia si eliminarea dura considerabil pe forumurile de specialitate, acum dupa ce toolurile au fost actualizate poti scapa destul de repede de infectie. Asta pana la urmatorul pas facut de producatorii rootkitului.

Tags: malware, rootkit