گونه‌ی جدید از ویروسهای TDL

گونه‌ی جدید از ویروسهای TDL که برای ایجاد بات‌نت استفاده می‌شود، در حال انتشار است. به نظر می‌رسد این گونه‌ی جدید، از ویروس TDL4 که توسط آزمایشگاه‌های Bitdefender کشف شده بود، نسخه‌برداری شده است.

پایگاه اطلاع‌رسانی پلیس فتا: گونه‌ی رهاساز TDL جدید (SHA1: abf99c02caa7bba786aecb18b314eac04373dc97) توسط ابزار DeepGuard شرکت F-Secure کشف شده است. از نام شناسایی شده برای این رهاساز می‌توان برداشت کرد که این گونه‌ها توسط یک بسته‌ نرم‌افزار مخرب توزیع شده‌اند.
  

سال گذشته شرکت ESET به گونه‌ جدید از TDL4 اشاره کرد (برخی از تولیدکنندگان آنتی ویروس آن را با نام Pihar می‌شناسند) که از تکنیک‌های جدیدی برای دور زدن سامانه‌های HIPS و همچنین بالابردن سطح‌دسترسی پردازش‌ها جهت دستیابی به سطح دسترسی مدیر استفاده می‌کرد. رهاسازهایی از این خانواده که اخیراً مشاهده شده‌اند نیز از همان تکنیک اشاره شده در مستندات ESET استفاده می‌کنند، اما به‌روزرسانی‌هایی جزئی دارند.
TDL4 با سوءاستفاده از آسیب‌پذیری MS10-092 در سرویس Task Scheduler برای بالابردن سطح دسترسی ویروس، درایور روت‌کیت را بارگذاری می‌کند. در گونه‌های جدید، به جای آسیب‌پذیری قبلی، از آسیب‌پذیری CVE-2013-3660 EPATHOBJ استفاده می‌شود:

         

یکی از تفاوت‌های قابل توجه گونه‌های جدید با گونه‌ اصلی TDL4، پرونده‌ی پیکربندی آن است، که در بخش منابع رهاساز به صورت داده‌های رمزنگاری‌شده‌ RC4 قرار داده شده است.

  

 

این اولین خانواده‌ ویروسی نیست که از آسیب‌پذیری CVE-2013-3660 سوءاستفاده می‌کند؛ اما وجود آن مثالی از سرعت‌عمل سازندگان ویروس در بهره‌گیری از کدهای مخربی است که به طور عمومی در دسترس هستند؛ در این مورد، کد سوءاستفاده از آسیب‌پذیری سه ماه پیش در دسترس عموم قرار گرفت.

منبع:وب‌گاه فن‌آوری اطلاعات