«Неудаляемый» вирус для Windows укрепляет свои позиции

Эксперты из нескольких антивирусных компаний предупредили о возросшей опасности, связанной с новой разновидностью вируса TDL4. Как считают специалисты, в том числе из компании ESET, создатели вируса с нуля переписали такие ключевые его компоненты, как драйвер ядра и модуль, исполняемый от имени пользователя.

Столь значимые изменения в коде, как считают антивирусные компании, могут означать, что создатели вируса начали оказывать услуги сторонним кибер-мошенникам по загрузке перехватчиков клавиатуры, рекламных программ и других вредоносных компонентов на машины, зараженные своим «руткитом».

Вирус TDL4, известный также под названиями TDSS и Alureon, с момента своего появления стал серьезной головной болью для производителей антивирусов. По современной классификации он относится к классу «руткитов» - захватывает полный контроль над компьютером, открывая дорогу для других видов вредоносного ПО. Последние разновидности этого вируса стали еще более трудной мишенью для антивирусов: так, теперь TDL4 создает скрытый раздел в конце жесткого диска на зараженной машине и делает этот раздел активным. Таким образом, помещенный туда код будет исполнен еще до запуска основной операционной системы Windows и не будет обнаружен стандартным антивирусом, передает soft.mail.ru.

Еще один интересный алгоритм защищает вирус TDL4 от удаления. Скрытый активный раздел имеет особую файловую систему, которая непрерывно проверяет целостность компонентов вируса. Если какие-то файлы будут повреждены, автоматически выполняется их удаление. Кроме того, как и в прежних версиях, сохранено шифрование всех данных, которыми вирус обменивается с серверами управления.

Стоит заметить, что TDL4 в свое время стал первым «руткитом», который смог заражать 64-битные версии Windows, обходя новейший механизм, который блокировал исполнение любого кода на уровне ядра, если этот код не имел подписи. Такая защита впервые появилась в 64-битных версиях Windows, чтобы разрешать работу только для драйверов с подписью, но вирус TDL4 успешно обошел эту защиту. Несмотря на активную работу антивирусных компаний, только за весну 2011 года зафиксировано более 4,5 млн. новых заражений на компьютерах конечных пользователей.

Кроме передовых алгоритмов самоконтроля, ухода от слежки и шифрования сообщений, вирус TDL4 обладает способностью налаживать связь через одноуровневую сеть Kad, подобную децентрализованным файлообменным сетям, а также умеет заражать эталонную загрузочную запись (MBR-сектор) на жестких дисках зараженных машин. Можно лишь констатировать, что авторы одного из самых сложных и изощренных вирусов последних лет ничуть не снижают темпы «инноваций».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ФСТЭК России выдал сертификат комплексу защиты от DDoS-атак Периметр

«Периметр» — решение по защите от атак типа «отказ в обслуживании» (Anti-DDoS), поставляемое как автономный комплекс и сертифицированное ФСТЭК России. В отличие от решений, перенаправляющих трафик для очистки на внешние площадки, «Периметр» осуществляет фильтрацию непосредственно на сети передачи данных заказчика. Такой подход не только гарантирует сохранность клиентских данных, но и исключает перегрузку всей промежуточной сетевой инфраструктуры при перенаправлении трафика.

«Периметр» — сертифицированное по уровню 4 РД НДВ средство защиты конфиденциальной информации, которое помогает государственным и корпоративным заказчикам выполнять требования ряда российских нормативно-правовых актов:

  • Совместного приказа ФСТЭК России и ФСБ России №489/416 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» за счёт использования сертифицированного средства фильтрации и блокирования сетевого трафика;
  • Приказов ФСТЭК № 17 от 11.02.2013 и №21 от 18.02.2013, регламентирующих защиту государственных информационных систем и безопасность персональных данных;
  • Федерального закона №187-ФЗ «О безопасности критической информационной структуры Российской Федерации» и подзаконных актов: приказа ФСТЭК №239 от 25.12.2017, в части предотвращения вторжений (компьютерных атак) и обеспечения доступности значимых объектов, приказа ФСБ № 196 от 06.05.2019, в части выявления и реагирования на компьютерные инциденты, работы с артефактами атаки и отсутствием недекларированных возможностей в используемом программном обеспечении;
  • Приказа ФСТЭК №31 от 14.03.2014 в части обеспечения мер по защите АСУТП на критически важных объектах.

Сертифицированное решение необходимо компаниям финансового сектора для выполнения мер, определённых в Национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», а также для обеспечения доступности информационных ресурсов платежных систем по требованиям Федерального закона №161-ФЗ от 27.06.2011 «О национальной платёжной системе» и Постановления правительства РФ № 584 от 13.06.2012 «Положение о защите информации в платежной системе».

Кроме того, возможности «Периметра» соответствуют методическим рекомендациям по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru