«Видаляються» вірус для windows зміцнює свої позиції

Експерти з декількох антивірусних компаній попередили про збільшену небезпеку, пов`язану з новим різновидом вірусу TDL4. Як вважають фахівці, в тому числі з компанії ESET, творці вірусу з нуля переписали такі ключові його компоненти, як драйвер ядра і модуль, що виконується від імені користувача. Настільки значні зміни в коді, як вважають антивірусні компанії, можуть означати, що творці вірусу почали надавати послуги стороннім кібер-шахраям по завантаженню перехоплювачів клавіатури, рекламних програм і інших шкідливих компонентів на машини, заражені своїм «руткітом».

Вірус TDL4, відомий також під назвами TDSS і Alureon, з моменту своєї появи став серйозним головним болем для виробників антивірусів. За сучасною класифікацією він відноситься до класу «руткітів» - захоплює повний контроль над комп`ютером, відкриваючи дорогу для інших видів шкідливого ПЗ. Останні різновиди цього вірусу стали ще більш важкою мішенню для антивірусів: так, тепер TDL4 створює прихований розділ в кінці жорсткого диска на зараженій машині і робить цей розділ активним. Таким чином, поміщений туди код буде виконаний ще до запуску основної операційної системи Windows і не буде виявлений стандартним антивірусом.

Ще один цікавий алгоритм захищає вірус TDL4 від видалення. Прихований активний розділ має особливу файлову систему, яка безперервно перевіряє цілісність компонентів вірусу. Якщо якісь файли будуть пошкоджені, автоматично виконується їх видалення. Крім того, як і в колишніх версіях, збережено шифрування всіх даних, якими вірус обмінюється з серверами управління.

Варто зауважити, що TDL4 свого часу став першим «руткітом», який зміг заражати 64-бітові версії Windows, обходячи новітній механізм, який блокував виконання будь-якого коду на рівні ядра, якщо цей код не мав підпису. Такий захист вперше з`явилася в 64-бітових версіях Windows, щоб дозволяти роботу тільки для драйверів з підписом, але вірус TDL4 успішно обійшов цей захист. Незважаючи на активну роботу антивірусних компаній, тільки за весну 2011 року зафіксовано більше 4,5 нових заражень на комп`ютерах кінцевих користувачів.

Крім передових алгоритмів самоконтролю, уникнення стеження і шифрування повідомлень, вірус TDL4 має здатність налагоджувати зв`язок через однорівневу мережу Kad, подібну децентралізованим файлообмінними мережами, а також вміє заражати еталонну завантажувальний запис (MBR-сектор) на жорстких дисках заражених машин. Можна лише констатувати, що автори одного з найскладніших і витончених вірусів останніх років нітрохи не знижують темпи «інновацій».

Відео: Як видалити віруси і трояни з вашого пк

За матеріалами сайту The Register.