Алурейский

Alureon (также известный как TDSS или TDL-4 ) — это троян и руткит, созданный для кражи данных путем перехвата сетевого трафика системы и поиска банковских имен пользователей и паролей, данных кредитных карт, информации PayPal, номеров социального страхования и других конфиденциальных пользовательских данных. . ^[1] После серии жалоб клиентов Microsoft установила, что Alureon вызвал волну BSoD в некоторых 32-битных системах Microsoft Windows . Обновление MS10-015, ^[2] вызвало эти сбои, нарушив предположения, сделанные авторами вредоносного ПО. ^[3]^[4]

По данным исследования Microsoft, Alureon был вторым по активности ботнетом во втором квартале 2010 года. ^[5]

Описание

Буткит Alureon был впервые обнаружен примерно в 2007 году. ^[1] Персональные компьютеры обычно заражаются, когда пользователи вручную загружают и устанавливают троянские программы. Известно, что Alureon поставлялся в комплекте с мошенническим программным обеспечением безопасности Security Essentials 2010 . ^[2] При запуске дроппер сначала перехватывает службу диспетчера очереди печати (spoolsv.exe), чтобы обновить главную загрузочную запись и выполнить модифицированную процедуру начальной загрузки. Затем он заражает низкоуровневые системные драйверы, например, отвечающие за операции PATA (atapi.sys), для установки своего руткита .

После установки Alureon манипулирует реестром Windows , чтобы заблокировать доступ к диспетчеру задач Windows , Центру обновления Windows и рабочему столу. Он также пытается отключить антивирусное программное обеспечение. Также известно, что Alureon перенаправляет поисковые системы на мошенничество с кликами . Google предпринял шаги, чтобы смягчить это для своих пользователей, сканируя вредоносную активность и предупреждая пользователей в случае положительного обнаружения. ^[6]

Вредоносная программа привлекла значительное внимание общественности, когда программная ошибка в ее коде привела к сбою некоторых 32-битных систем Windows после установки обновления безопасности MS10-015. ^[2] Вредоносная программа использовала жестко запрограммированный адрес памяти в ядре, который изменился после установки исправления. Впоследствии Microsoft изменила исправление, чтобы предотвратить установку в случае заражения Alureon. ^[7] Автор(ы) вредоносного ПО также исправили ошибку в коде.

В ноябре 2010 года в прессе сообщалось, что руткит развился до такой степени, что он обходит обязательное драйверов подписи требование режима ядра 64-битных выпусков Windows 7 . Это было сделано путем подмены основной загрузочной записи . ^[8] что сделало его особенно устойчивым во всех системах к обнаружению и удалению антивирусным программным обеспечением.

ТДЛ-4

TDL-4 иногда используется как синоним Alureon, а также является названием руткита , управляющего ботнетом.

Впервые он появился в 2008 году как TDL-1, обнаруженный Лабораторией Касперского в апреле 2008 года. Позже в начале 2009 года появилась вторая версия, известная как TDL-2. Спустя некоторое время после того, как TDL-2 стал известен, появилась третья версия, получившая название TDL-3. ^[9] В конечном итоге это привело к созданию TDL-4. ^[10]

В 2011 году журналисты часто отмечали его как «неразрушимый», хотя его можно удалить с помощью таких инструментов, как Касперского . TDSSKiller от ^[11] Он заражает основную загрузочную запись целевой машины, что затрудняет ее обнаружение и удаление. Основные достижения включают шифрование коммуникаций, децентрализованный контроль с использованием сети Kad , а также удаление других вредоносных программ . ^[12]^[13]

Удаление

Хотя руткиту обычно удается избежать обнаружения, косвенные доказательства заражения могут быть обнаружены путем проверки сетевого трафика с помощью анализатора пакетов или проверки исходящих соединений с помощью такого инструмента, как netstat . Хотя существующее программное обеспечение безопасности на компьютере иногда сообщает о наличии руткита, зачастую оно остается незамеченным. Может оказаться полезным выполнить автономное сканирование зараженной системы после загрузки альтернативной операционной системы, например WinPE , поскольку вредоносное ПО попытается помешать обновлению программного обеспечения безопасности. Команда «FixMbr» консоли восстановления Windows и ручная замена «atapi.sys» могут потребоваться для отключения функциональности руткита, прежде чем антивирусные инструменты смогут обнаружить и очистить заражение. ^{[ нужна ссылка ]}

Различные компании создали отдельные инструменты, которые пытаются удалить Alureon. Двумя популярными инструментами являются Microsoft Windows Defender Offline и Kaspersky TDSSKiller .

Аресты

9 ноября 2011 года прокурор Южного округа Нью-Йорка США объявил обвинения против шести граждан Эстонии , арестованных эстонскими властями, и одного гражданина России в связи с операцией Ghost Click . ^[14] По состоянию на 6 февраля 2012 года двое из этих лиц были экстрадированы в Нью-Йорк за проведение сложной операции, в ходе которой с помощью Alureon заразили миллионы компьютеров. ^[15]

См. также

Ссылки

^ Jump up to: ^а ^б «Описание угрозы Win32_Alureon — Microsoft Security Intelligence» . microsoft.com. Март 2007 г. Архивировано из оригинала 10 февраля 2010 г. Проверено 18 февраля 2010 г.
^ Jump up to: ^а ^б ^с «Бюллетень по безопасности Microsoft MS10-015 — Важно» . Майкрософт . 17 марта 2010 г. Архивировано из оригинала 5 июня 2011 года . Проверено 25 апреля 2011 г.
^ «Проблемы с перезагрузкой MS10-015 являются результатом заражения руткитом (threatpost)» . 18 февраля 2010 г. Архивировано из оригинала 21 октября 2012 г. Проверено 19 февраля 2010 г.
^ «Подробнее об Алуреоне» . Симантек . Архивировано из оригинала 19 января 2009 года.
^ «Самые активные семейства ботнетов во 2К10» (PDF) . Майкрософт . п. 24 . Проверено 19 августа 2015 г.
^ Беркоу, Джеймсон (20 июля 2011 г.). «Google предупреждает о массовой вспышке вредоносного ПО» . Финансовый пост . Проверено 25 ноября 2011 г.
^ «Обновление — проблемы с перезагрузкой после установки MS10-015 и руткита Alureon» . Центр реагирования безопасности Microsoft. 17 февраля 2010 г.
^ Гудин, Дэн (16 ноября 2010 г.). «Самый продвинутый руткит в мире проникает в 64-битную Windows» . Регистр . Архивировано из оригинала 21 ноября 2010 года . Проверено 22 ноября 2010 г.
^ «ТДСС» . Securelist от Касперского . 5 августа 2010 г.
^ Голованов Сергей; Игорь Суменков (27 июня 2011 г.). «TDL4 – Топ Бот» . Securelist от Касперского . Список безопасности . Проверено 19 мая 2020 г.
^ Херканаиду, Рам (4 июля 2011 г.). «ТДЛ-4 Неразрушимый или нет?» . Securelist от Касперского . безопасный список . Проверено 19 мая 2020 г.
^ Райзингер, Дон (30 июня 2011 г.). «TDL-4: «неразрушимый» ботнет? | Цифровой дом — Новости CNET» . CNET . Проверено 15 октября 2011 г.
^ « Неразрушимый» ботнет TDL-4?» . Техно-глобусы. 2 июля 2011 года. Архивировано из оригинала 12 октября 2011 года . Проверено 16 марта 2016 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )
^ «Операция Ghost Click: ликвидировано международное кибер-кольцо, заразившее миллионы компьютеров» . ФБР.gov . 9 ноября 2011 года . Проверено 14 августа 2015 г.
^ Финкл, Джим (5 июля 2015 г.). «Вирус может вывести из строя почти 250 000 компьютеров» . Рейтер . Проверено 14 августа 2015 г.

Внешние ссылки

Инструмент TDSSKiller для обнаружения и удаления руткитов и буткитов , Лаборатория Касперского
- Удаление TDSS , 6 июня 2011 г., TrishTech.com
Вирус: Win32/Alureon.A в Microsoft Security Intelligence
Backdoor.Tidserv в Symantec

[MSTE-1] Jump up to: ^а ^б «Описание угрозы Win32_Alureon — Microsoft Security Intelligence» . microsoft.com. Март 2007 г. Архивировано из оригинала 10 февраля 2010 г. Проверено 18 февраля 2010 г.

[:0-2] Jump up to: ^а ^б ^с «Бюллетень по безопасности Microsoft MS10-015 — Важно» . Майкрософт . 17 марта 2010 г. Архивировано из оригинала 5 июня 2011 года . Проверено 25 апреля 2011 г.

[3] «Проблемы с перезагрузкой MS10-015 являются результатом заражения руткитом (threatpost)» . 18 февраля 2010 г. Архивировано из оригинала 21 октября 2012 г. Проверено 19 февраля 2010 г.

[4] «Подробнее об Алуреоне» . Симантек . Архивировано из оригинала 19 января 2009 года.

[5] «Самые активные семейства ботнетов во 2К10» (PDF) . Майкрософт . п. 24 . Проверено 19 августа 2015 г.

[6] Беркоу, Джеймсон (20 июля 2011 г.). «Google предупреждает о массовой вспышке вредоносного ПО» . Финансовый пост . Проверено 25 ноября 2011 г.

[7] «Обновление — проблемы с перезагрузкой после установки MS10-015 и руткита Alureon» . Центр реагирования безопасности Microsoft. 17 февраля 2010 г.

[8] Гудин, Дэн (16 ноября 2010 г.). «Самый продвинутый руткит в мире проникает в 64-битную Windows» . Регистр . Архивировано из оригинала 21 ноября 2010 года . Проверено 22 ноября 2010 г.

[9] «ТДСС» . Securelist от Касперского . 5 августа 2010 г.

[10] Голованов Сергей; Игорь Суменков (27 июня 2011 г.). «TDL4 – Топ Бот» . Securelist от Касперского . Список безопасности . Проверено 19 мая 2020 г.

[Herkanaidu-11] Херканаиду, Рам (4 июля 2011 г.). «ТДЛ-4 Неразрушимый или нет?» . Securelist от Касперского . безопасный список . Проверено 19 мая 2020 г.

[12] Райзингер, Дон (30 июня 2011 г.). «TDL-4: «неразрушимый» ботнет? | Цифровой дом — Новости CNET» . CNET . Проверено 15 октября 2011 г.

[13] « Неразрушимый» ботнет TDL-4?» . Техно-глобусы. 2 июля 2011 года. Архивировано из оригинала 12 октября 2011 года . Проверено 16 марта 2016 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )

[14] «Операция Ghost Click: ликвидировано международное кибер-кольцо, заразившее миллионы компьютеров» . ФБР.gov . 9 ноября 2011 года . Проверено 14 августа 2015 г.

[15] Финкл, Джим (5 июля 2015 г.). «Вирус может вывести из строя почти 250 000 компьютеров» . Рейтер . Проверено 14 августа 2015 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]