TDL (også kjent som TDSS) er et Windows-rootkit tidligere beskrevet av Kaspersky Labs som den mest avanserte og skadelige botnet-koden noensinne utviklet.
Advarer mot ny variant
Nå advarer sikkerhetsselskapet ESET mot en ny, enda mer avansert variant, TDL 4.
– Basert på analyser av disse komponentene kan vi si at noen av disse er skrevet om helt fra bunnen av, mens andre er uendret fra tidligere versjoner, forklarer David Harley fra ESET.
TDL og TDSS-Familien rootkits er svært avanserte, men TDL 4 er annerledes og farligere på flere måter.
Annonse
64 bit heller ikke sikkert
TDL 4 kan infisere 64-bits-utgaver av Windows og bruke P2P-klienter for å styre den infiserte maskinen. TDL 4 kan til og med tukle med maskinens MBR (Master Boot Record) og på den måten skjule seg for antivirusprogram.
I juni i år ble det kjent at 4.5 millioner PCer var infiserte av TDL 4.
Lager sin egen partisjon
Men nå endrer faktisk hackerne på koden så den blir enda vanskeligere å oppdage. Istedenfor å skjule seg i MBR kan den nye varianten lage en skjult partisjon på slutten av harddisken og sette den som aktiv.
Dette gjør det mulig for hackerne å starte den skadelige koden før operativsystemet starter noe som selvsagt gjør det svært vanskelig for antivirusprogrammene og oppdage den skadelige koden. Heller ikke et antivirus-søk av den vanlige startsektoren på en harddisk vil derfor oppdage truselen.
Kilde:
blog.eset.com
Annonse