Computerworld News Service: Eksperter fra sikkerhedsleverandøren ESET advarer, at TDL4, der er et af verdens mest sofistikerede stykker malware, er ved at blive omskrevet og forbedret, så den bliver mere modstandsdygtig overfor antivirussoftware.
"Analytikere fra ESET har længe sporet TDL4-botnettet og vi har nu iagttaget en ny fase i dets udvikling," meddeler David Harley, der er virksomhedens chef for malware-efterretning.
"Baseret på analysen af dets komponenter kan vi se, at visse af disse komponenter er blevet skrevet om fra bunden af (det drejer sig om kernel-mode driver og user-mode payload), mens andre (visse bootkit-komponenter) er uændret fra tidligere versioner," forklarer han.
Harley og hans kolleger tror, at dette er tegn på en større ændring i TLD's udviklingsteam eller i forretningsmodellen til at blive et crimeware-toolkit, der kan licenseres til andre datakriminelle.
TLD, der også er kendt som TDSS, betegner en hel familie af rootkits, der alle er karakteriseret ved komplekse og innovative teknikker til at undgå opdagelse. Tilbage i juli kaldte malware-analytikere fra Kaspersky Lab TDL version 4 for verdens mest sofistikerede trussel og estimerede, at den på daværende tidspunkt havde inficeret over 4,5 millioner computere.
TDL4 skiller sig på mange måder ud fra mængden af rootkits, der plager internettet, heriblandt på grund af dets evne til at inficere systemer med Windows i 64-bit, dets brug af offentlige peer-to-peer Kad-netværk til kommando-formål og dets komponent til at skjule sig i master boot record (MBR) for blot at nævne nogle få.
Men nu sker der altså ifølge ESET's analytikere ændringer af, hvordan TLD4 inficerer og bider sig fast i systemer. I stedet for at lagre komponenter i MBR opretter de nye varianter en skjult partition sidst på harddisken og indstiller den som aktiv.
Det sikrer, at den skadelige kode, der er lagret på denne partition heriblandt en særlig bootloader, køres før selve styresystemet, og at der ikke bliver rørt ved den MBR-kode, der af antivirussoftware kontrolleres for uautoriserede ændringer, hvilket gør malwaren væsentligt sværere at opdage.
Oversat af Thomas Bøndergaard
