Hopp til navigasjon Hopp til innhold
hacking02 (Ill.: Ill: Per Ervland/ITavisen)

Dette viruset skremmer vannet av ekspertene

Omtrent umulig å oppdage – Lager sin egen partisjon.

TDL (også kjent som TDSS) er et Windows-rootkit tidligere beskrevet av Kaspersky Labs som den mest avanserte og skadelige botnet-koden noensinne utviklet.

Advarer mot ny variant

Nå advarer sikkerhetsselskapet ESET mot en ny, enda mer avansert variant, TDL 4.

– Basert på analyser av disse komponentene kan vi si at noen av disse er skrevet om helt fra bunnen av, mens andre er uendret fra tidligere versjoner, forklarer David Harley fra ESET.

TDL og TDSS-Familien rootkits er svært avanserte, men TDL 4 er annerledes og farligere på flere måter.

64 bit heller ikke sikkert

TDL 4 kan infisere 64-bits-utgaver av Windows og bruke P2P-klienter for å styre den infiserte maskinen. TDL 4 kan til og med tukle med maskinens MBR (Master Boot Record) og på den måten skjule seg for antivirusprogram.

I juni i år ble det kjent at 4.5 millioner PCer var infiserte av TDL 4.

Lager sin egen partisjon

Men nå endrer faktisk hackerne på koden så den blir enda vanskeligere å oppdage. Istedenfor å skjule seg i MBR kan den nye varianten lage en skjult partisjon på slutten av harddisken og sette den som aktiv.

Dette gjør det mulig for hackerne å starte den skadelige koden før operativsystemet starter noe som selvsagt gjør det svært vanskelig for antivirusprogrammene og oppdage den skadelige koden. Heller ikke et antivirus-søk av den vanlige startsektoren på en harddisk vil derfor oppdage truselen.

Kilde:
blog.eset.com

Diagrammet viser hvor TDL 4 legger seg på maskinens harddisk, altså før OSet i det hele tatt lastes inn og på en egen partisjon. Det gjør det svært vanskelig å oppdage da antivirus-programmene ikke lastes før Windows.

Stikkord: trojaner, virus