بازنویسی پیچیده ترین بدافزار دنیا

طبق آخرین تحقیقات شرکت ضدویروس ESET، اخیراً برنامه مخرب TDL4 که یکی از پیچیده‏ترین بدافزارها در جهان بشمار می‎آید، بازنویسی و بهینه‏سازی شده تا مقاومت بیشتری در برابر انواع ضدویروس‎ها رایج امروزی داشته باشد.

بررسی‏ها نشان می‏دهد که بسیاری از بخش‏های برنامه TDL کاملاً از نو نوشته شده‏اند و در بخش‏های دیگر هم تغییراتی صورت گرفته است. این اقدامات جدید می‏تواند در نتیجه تغییراتی در گروه برنامه‏نویسی این بدافزار و یا تصمیمات جدید در جهت تجاری کردن آن و عرضه هر چه بیشتر و آسان تر به گروه های خلافکار باشد.

بدافزار TDL که با نام TDSS نیز شناخته می‏شود، در حقیقت گروهی از بدافزارها هستند که در خانواده Rootkitها قرار می‏گیرند. این گروه از بدافزارها از بابت قابلیت‏های بسیار پیشرفته و پیچیده‏ای که در فرار و مخفی شدن از ابزارهای امنیتی دارند، از سایر بدافزارهای رایج امروزی متمایز هستند. چند ماه قبل، شرکت ضدویروس Kaspersky بدافزار TDL4 را پیچیده‏ترین بدافزار چهان معرفی کرد که بیش از 5/4 میلیون کامپیوتر را در جهان آلوده کرده و بدون اطلاع کاربر و بدون شناسایی شدن توسط ابزارهای امنیتی، کنترل آنها را در اختیار دارد.

امکانات خاصی که در بدافزار TDL گنجانده شده، شخصیت کاملاً منحصر به فردی در بین بدافزارهای امروز به آن می‏دهد. امکاناتی نظیر سازگاری با سیستم‏های 64 بیتی و مهارت شگفت‏انگیز در مخفی ساختن خود در MBR یا Master Boot Record کامپیوترها.

در گونه بازنویسی شده TDL4، اطلاعات بدافزار در MBR کامپیوتر نگهداری نمی‏شود و به جای آن، یک بخش مخفی و فعال (Hidden Active Partition) در انتهای دیسک سخت ایجاد می‏شود و بدین ترتیب در هر بار راه‏اندازی کامپیوتر، این بخش قبل از سیستم عامل اجرا می‏گردد. ابزارهای امنیتی نیز بعد از فعال شدن، بخش MBR کامپیوتر را کنترل کرده و مورد مشکوکی را مشاهده نمی‏کنند. برای این بخش جعلی از دیسک سخت، حتی یک سیستم فایل (System File) اختصاصی نوشته شده تا اصالت و صحت فایل‏های نگهداری شده در این بخش کنترل شود. هر نوع فایل خراب و یا دستکاری شده بطور خودکار توسط سیستم فایل حذف شده و نسخه سالم و جدیدی از آن از مرکز فرماندهی TDL دریافت و جایگزین می‏شود.

مدتهاست که مبارزه بی‎پایانی بین شرکت‎های امنیتی و بدافزارهای TDL در جریان است. در اصلاحیه‏های ماه آوریل شرکت مایکروسافت، اصلاحیه‏ای وجود داشت که با انجام تغییراتی در سیستم عامل، چرخه آلوده‎سازی TDL را مختل می‏کرد. در مدت کمتر از دو هفته، گردانندگان بدافزار TDL نسخه به روز شده‏ای را برای دور زدن اقدام اخیر مایکروسافت عرضه کردند. این میزان توانایی و سرعت عکس‏العمل نشان می‏دهد که گروه برنامه‏نویسی قوی و حرفه‏ای پشت TDL است و درآمدزایی این بدافزار به حدی است که اینگونه هزینه‏ها را به راحتی جبران می‏کند.