«Неудаляемый» вирус для Windows укрепляет свои позиции

Александр Панасенко 25 Октября 2011 - 15:38

...

Эксперты из нескольких антивирусных компаний предупредили о возросшей опасности, связанной с новой разновидностью вируса TDL4. Как считают специалисты, в том числе из компании ESET, создатели вируса с нуля переписали такие ключевые его компоненты, как драйвер ядра и модуль, исполняемый от имени пользователя.

Столь значимые изменения в коде, как считают антивирусные компании, могут означать, что создатели вируса начали оказывать услуги сторонним кибер-мошенникам по загрузке перехватчиков клавиатуры, рекламных программ и других вредоносных компонентов на машины, зараженные своим «руткитом».

Вирус TDL4, известный также под названиями TDSS и Alureon, с момента своего появления стал серьезной головной болью для производителей антивирусов. По современной классификации он относится к классу «руткитов» - захватывает полный контроль над компьютером, открывая дорогу для других видов вредоносного ПО. Последние разновидности этого вируса стали еще более трудной мишенью для антивирусов: так, теперь TDL4 создает скрытый раздел в конце жесткого диска на зараженной машине и делает этот раздел активным. Таким образом, помещенный туда код будет исполнен еще до запуска основной операционной системы Windows и не будет обнаружен стандартным антивирусом, передает soft.mail.ru.

Еще один интересный алгоритм защищает вирус TDL4 от удаления. Скрытый активный раздел имеет особую файловую систему, которая непрерывно проверяет целостность компонентов вируса. Если какие-то файлы будут повреждены, автоматически выполняется их удаление. Кроме того, как и в прежних версиях, сохранено шифрование всех данных, которыми вирус обменивается с серверами управления.

Стоит заметить, что TDL4 в свое время стал первым «руткитом», который смог заражать 64-битные версии Windows, обходя новейший механизм, который блокировал исполнение любого кода на уровне ядра, если этот код не имел подписи. Такая защита впервые появилась в 64-битных версиях Windows, чтобы разрешать работу только для драйверов с подписью, но вирус TDL4 успешно обошел эту защиту. Несмотря на активную работу антивирусных компаний, только за весну 2011 года зафиксировано более 4,5 млн. новых заражений на компьютерах конечных пользователей.

Кроме передовых алгоритмов самоконтроля, ухода от слежки и шифрования сообщений, вирус TDL4 обладает способностью налаживать связь через одноуровневую сеть Kad, подобную децентрализованным файлообменным сетям, а также умеет заражать эталонную загрузочную запись (MBR-сектор) на жестких дисках зараженных машин. Можно лишь констатировать, что авторы одного из самых сложных и изощренных вирусов последних лет ничуть не снижают темпы «инноваций».

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Апреля 2026 - 12:44

iOS Общее Защита персональных данных Защита мобильных устройств Защита мобильных устройств

ФБР восстановило сообщения Signal с iPhone через уведомления iOS

Стало известно, что ФБР смогло извлечь содержимое удалённых сообщений Signal с iPhone, используя данные из внутренней базы уведомлений iOS. Речь идёт о деле, связанном с группой людей, которых обвиняли в поджоге фейерверков и вандализме на территории центра содержания мигрантов ICE Prairieland Detention Facility в Техасе.

Об этом сообщает 404 Media со ссылкой на материалы недавнего судебного разбирательства в США.

В ходе процесса агент ФБР Кларк Уиторн рассказал о собранных доказательствах. Как следует из описания, входящие сообщения Signal удалось восстановить с телефона обвиняемой Линетт Шарп даже после того, как само приложение было удалено с устройства.

Судя по этим данным, сообщения сохранились во внутреннем хранилище уведомлений Apple. При этом речь шла только о входящих сообщениях — исходящие, как утверждается, получить не удалось.

Как отмечает 404 Media, в Signal есть настройка, которая скрывает текст сообщения в уведомлениях. Но, судя по всему, в этом случае такая защита включена не была. Именно поэтому содержимое входящих сообщений могло попасть в системную базу уведомлений и сохраниться там даже после удаления самого мессенджера.

Технических подробностей о том, как именно ФБР добралось до этих данных, пока нет. Многое зависит от состояния устройства на момент извлечения информации: был ли iPhone заблокирован, разблокирован, находился ли он в режиме до первой разблокировки или уже после неё. У iOS в каждом таком сценарии свои ограничения на доступ к данным.

Тем не менее сама история хорошо показывает, что iPhone хранит довольно много локальной информации, полагаясь на внутренние механизмы защиты. Это удобно для пользователя, но в отдельных ситуациях может сыграть и против него — особенно если уведомления содержат личный текст.

Ещё один любопытный момент связан с пуш-уведомлениями. Как подчёркивается в публикации, токен для их доставки не обязательно сразу перестаёт работать после удаления приложения. То есть сервер может продолжать отправлять уведомления, а уже сам iPhone решает, как с ними поступать. Это теоретически тоже могло повлиять на сохранение данных.

На этом фоне особенно интересно выглядит недавнее изменение в iOS 26.4, где Apple обновила механизм проверки пуш-токенов. Прямой связи с этим делом никто не подтверждал, но совпадение по времени выглядит примечательно.

Напомним, недавно ФБР столкнулось с неожиданным препятствием при расследовании утечки конфиденциальных данных: Lockdown Mode на iPhone журналистки Washington Post фактически заблокировал доступ к содержимому устройства.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!