Подробиці про Tidserv: бекдор сам завантажує для себе програмне середовище

Корпорація Symantec оприлюднила подробиці про складну активної загрозу Tidserv. Бекдор використовує функціонал руткіта, внаслідок чого його вкрай складно виявити. Для функціонування шкідливої програми необхідна середа Chromium Embedded Framework, тому бекдор додатково закачує на заражений комп'ютер близько 50 Мбайт.

Tidserv (або TDL) - це складна загроза, що маскується себе в системі за допомогою руткіт-технологій. Будучи виявленої ще в 2008 році, вона залишається активною досі. Поширюваний зараз в інтернеті варіант Tidserv використовує у своїй роботі програмну платформу Chromium Embedded Framework (CEF). І хоча це не перший випадок, коли зловмисники використовують легітимне у своїх цілях, в даному випадку для коректної роботи вірусу потрібно завантаження всіх компонентів середовища загальним розміром в 50 Мбайт, що досить незвично для шкідливих програм.

Backdoor.Tidserv має компонентну структуру, що дозволяє йому довантажувати нові модулі і відразу ж вбудовувати їх в процеси ОС. У більш ранньої версії Tidserv модуль serf332 використовувався для мережевих операцій, таких як, наприклад, автоклики і рекламні спливаючі вікна. Для їх реалізації використовуються COM-об'єкти відкриття сторінок та аналізу їх вмісту. Недавно експерти Symantec виявили, що Tidserv почав завантажувати для використання новий модуль з назвою cef32. Цей новий модуль має той же функціонал, що і serf332, однак він також вимагає наявності бібліотеки cef.dll, що є частиною CEF. Як правило, це означає, що на заражену систему потрібно завантажити всі компоненти CEF обсягом близько 50 Мбайт.

За період з 4 по 21 березня число завантажень CEF значно зросла, і хоча фахівці не можуть стверджувати, що це результат активності Tidserv, однак, якщо це зростання дійсно пов'язаний саме з атакою, то можна отримати уявлення про її масштабах.

Статистика завантажень CEF за період з 4 по 21 березня

CEF надає функції управління Web-браузером для вбудовування його в додатку. Бібліотеки CEF забезпечують весь спектр необхідних для роботи браузера функцій, таких як розбір HTML-коду або розбір і запуск JavaScript.

Використання програмного середовища CEF дозволяє Tidserv зняти з себе реалізацію більшої частини свого «браузерного» функціоналу і покласти його виконання на бібліотеки CEF. Таким чином, модулі шкідливої програми стають менше, а розширювати їх функціонал виявляється простіше. Зворотною стороною медалі стала необхідність завантаження бібліотеки cef.dll. Посилання для завантаження zip-архіву з CEF «вшита» безпосередньо у виконуваний код модуля, і будь-яка зміна джерела, таким чином, потребує оновлення і самого модуля.

Автори Chromium Embedded Framework (CEF) не розраховували на використання свого продукту в кримінальних цілях, і намагаються припиняти подібні спроби. Зараз з сайту Google Code була видалена бібліотека, використана зловмисниками при створенні цього вірусу. Також розробники вивчають способи її надання користувачам лише в максимально захищеному від подібних загроз виконанні.