TDSS是目前最为强大和复杂的一种rootkit。这种通用恶意软件能够不仅能够隐藏自身踪迹,还可以隐藏被感染系统中的其他恶意软件,使得他们有更多机会危害受感染计算机。为了侵入系统,TDSS会感染系统驱动程序。这种感染方式能够确保系统一旦启动,TDSS就会立即运行。所以,对这种rootkit的检测和清除都非常困难。
为了解决由TDSS造成的安全问题,卡巴斯基实验室投入了大量的时间和精力。在近期发表的一片文章中,详细分析了TDSS所采用的技术,介绍了该rootkit的传播手段,并且揭示出网络罪犯是如何利用此恶意软件获利的。
TDSS主要通过一些分销联盟计划进行传播,加入联盟的商家会穷尽各种办法将恶意软件传播到计算机上。使得TDSS这种恶意软件可以攻击全球各地的计算机。
卡巴斯基实验室估计,目前此rootkit已经感染了大约300万台计算机。联盟商家可以根据其感染的计算机数量获取报酬。通常,销售价格最高的受感染计算机是位于美国的计算机。
通过TDSS管理,大约由20,000台受感染计算机组成的僵尸网络还被置于黑市进行销售。这些僵尸网络的命令控制中心一般都位于中国、卢森堡、香港、荷兰或俄罗斯。TDSS可适应性强,能够实现多种功能。其具体用途主要取决于恶意软件编写者或僵尸网络租用者/运营者想通过其达到什么目的。
文章作者,来自卡巴斯基实验室的Sergey Golovanov说,“在所采用的技术和设计方面,TDSS绝对一种非常复杂的恶意软件。通过分析,我们认为此恶意软件的编写者应该来自俄罗斯或者其他俄语国家。其编写者会时刻关注反病毒行业的动态,及时调整和发布该rootkit的最新版本。所以,我们认为在不久的将来,此rootkit的功能还将会进一步被改进,从而更加有效地对抗反病毒厂商采取的安全保护技术。”
欲浏览文章全文,请访问:www.securelist.com/en.
网友评论