بازنویسی پیچیده ترین بدافزار دنیا
طبق آخرین تحقیقات شرکت ضدویروس ESET، اخیراً برنامه مخرب TDL4 که یکی از پیچیدهترین بدافزارها در جهان بشمار میآید، بازنویسی و بهینهسازی شده تا مقاومت بیشتری در برابر انواع ضدویروسها رایج امروزی داشته باشد.
بررسیها نشان میدهد که بسیاری از بخشهای برنامه TDL کاملاً از نو نوشته شدهاند و در بخشهای دیگر هم تغییراتی صورت گرفته است. این اقدامات جدید میتواند در نتیجه تغییراتی در گروه برنامهنویسی این بدافزار و یا تصمیمات جدید در جهت تجاری کردن آن و عرضه هر چه بیشتر و آسان تر به گروه های خلافکار باشد.
بدافزار TDL که با نام TDSS نیز شناخته میشود، در حقیقت گروهی از بدافزارها هستند که در خانواده Rootkitها قرار میگیرند. این گروه از بدافزارها از بابت قابلیتهای بسیار پیشرفته و پیچیدهای که در فرار و مخفی شدن از ابزارهای امنیتی دارند، از سایر بدافزارهای رایج امروزی متمایز هستند. چند ماه قبل، شرکت ضدویروس Kaspersky بدافزار TDL4 را پیچیدهترین بدافزار چهان معرفی کرد که بیش از 5/4 میلیون کامپیوتر را در جهان آلوده کرده و بدون اطلاع کاربر و بدون شناسایی شدن توسط ابزارهای امنیتی، کنترل آنها را در اختیار دارد.
امکانات خاصی که در بدافزار TDL گنجانده شده، شخصیت کاملاً منحصر به فردی در بین بدافزارهای امروز به آن میدهد. امکاناتی نظیر سازگاری با سیستمهای 64 بیتی و مهارت شگفتانگیز در مخفی ساختن خود در MBR یا Master Boot Record کامپیوترها.
در گونه بازنویسی شده TDL4، اطلاعات بدافزار در MBR کامپیوتر نگهداری نمیشود و به جای آن، یک بخش مخفی و فعال (Hidden Active Partition) در انتهای دیسک سخت ایجاد میشود و بدین ترتیب در هر بار راهاندازی کامپیوتر، این بخش قبل از سیستم عامل اجرا میگردد. ابزارهای امنیتی نیز بعد از فعال شدن، بخش MBR کامپیوتر را کنترل کرده و مورد مشکوکی را مشاهده نمیکنند. برای این بخش جعلی از دیسک سخت، حتی یک سیستم فایل (System File) اختصاصی نوشته شده تا اصالت و صحت فایلهای نگهداری شده در این بخش کنترل شود. هر نوع فایل خراب و یا دستکاری شده بطور خودکار توسط سیستم فایل حذف شده و نسخه سالم و جدیدی از آن از مرکز فرماندهی TDL دریافت و جایگزین میشود.
مدتهاست که مبارزه بیپایانی بین شرکتهای امنیتی و بدافزارهای TDL در جریان است. در اصلاحیههای ماه آوریل شرکت مایکروسافت، اصلاحیهای وجود داشت که با انجام تغییراتی در سیستم عامل، چرخه آلودهسازی TDL را مختل میکرد. در مدت کمتر از دو هفته، گردانندگان بدافزار TDL نسخه به روز شدهای را برای دور زدن اقدام اخیر مایکروسافت عرضه کردند. این میزان توانایی و سرعت عکسالعمل نشان میدهد که گروه برنامهنویسی قوی و حرفهای پشت TDL است و درآمدزایی این بدافزار به حدی است که اینگونه هزینهها را به راحتی جبران میکند.
