گونهی جدید از ویروسهای TDL که برای ایجاد باتنت
استفاده میشود، در حال انتشار است. به نظر میرسد این گونهی جدید، از ویروس TDL4 که توسط آزمایشگاههای Bitdefender کشف شده بود، نسخهبرداری
شده است.
پایگاه اطلاعرسانی پلیس فتا: گونهی رهاساز TDL جدید (SHA1:
abf99c02caa7bba786aecb18b314eac04373dc97) توسط ابزار DeepGuard شرکت
F-Secure کشف شده است. از نام شناسایی شده برای این رهاساز میتوان برداشت
کرد که این گونهها توسط یک بسته نرمافزار مخرب توزیع شدهاند.
سال گذشته شرکت ESET به گونه جدید از TDL4 اشاره کرد (برخی از
تولیدکنندگان آنتی ویروس آن را با نام Pihar میشناسند) که از تکنیکهای
جدیدی برای دور زدن سامانههای HIPS و همچنین بالابردن سطحدسترسی
پردازشها جهت دستیابی به سطح دسترسی مدیر استفاده میکرد. رهاسازهایی از
این خانواده که اخیراً مشاهده شدهاند نیز از همان تکنیک اشاره شده در
مستندات ESET استفاده میکنند، اما بهروزرسانیهایی جزئی دارند.
TDL4 با سوءاستفاده از آسیبپذیری MS10-092 در سرویس Task Scheduler برای
بالابردن سطح دسترسی ویروس، درایور روتکیت را بارگذاری میکند. در
گونههای جدید، به جای آسیبپذیری قبلی، از آسیبپذیری CVE-2013-3660
EPATHOBJ استفاده میشود:
یکی از تفاوتهای قابل توجه گونههای جدید با گونه اصلی TDL4، پروندهی
پیکربندی آن است، که در بخش منابع رهاساز به صورت دادههای رمزنگاریشده
RC4 قرار داده شده است.
این اولین خانواده ویروسی نیست که از آسیبپذیری CVE-2013-3660
سوءاستفاده میکند؛ اما وجود آن مثالی از سرعتعمل سازندگان ویروس در
بهرهگیری از کدهای مخربی است که به طور عمومی در دسترس هستند؛ در این
مورد، کد سوءاستفاده از آسیبپذیری سه ماه پیش در دسترس عموم قرار گرفت.