Вирус для Windows, который нельзя удалить

Вирус, который нельзя удалитьСпециалисты из большого количества антивирусных компаний рассказывают об увеличивающейся опасности, которая относится к новому вирусу под названием TDL4. В ESET говорят, что разработчикам этой угрозы удалось полностью переписать драйвер ядра и изменить модуль, который позволяет функционировать от имени пользователя.

Подобные изменения в программном коде означают, что создатели вируса начали сотрудничать с различными кибермошенникам. То есть, совместно создаются перехватчики клавиатуры, различные рекламные приложения и другие виды вредоносных компонентов для платформ, которые были заражены соответствующим «руткитом».

Вирус, который называется TDL4, некоторые могут знать под именем TDSS, или же Alureon. После своего появления с ним начали активно бороться производители различных антивирусных продуктов. Если следовать современной классификации, то его можно отнести к разряду «руткитов», которые захватывают управление над компьютером, позволяя распространиться другим видам вредоносного ПО.

Новая разновидность данного вируса долгое время была недостижимой целью для антивирусов: TDL4 может создавать скрытую область на жестком диске зараженной платформы, используя один из активных разделов. Оказавшийся в этом месте код будет выполнен еще перед запуском операционной системы Windows, что не позволит обнаружить его стандартным антивирусным продуктам.

Специальный алгоритм не позволяет избавиться от вируса TDL4. Один из его разделов содержит файловую систему, система которой постоянно проверяет компоненты вируса на целостность. Когда какие-то файлы повреждаются, то в автоматическом режиме происходит их удаление. Нужно отметить, что в TDL4 по-прежнему используется шифрование всей информации, которую вирус передает на определенные сервера управления.

Нужно сказать, что после своего появления эта угроза превратилась в первый «руткит», которому удалось заразить 64-битную версию Windows. Для этого потребовалось обойти защиту новейших механизмов, которые блокировали запуск любого программного кода на уровне ядра, когда его значение не содержало соответствующей подписи.
Данная система защиты создавалась специально для 64-битных версий Windows (для работы отдельных драйверов с определенной подписью). TDL4 смог успешно обойти данный вид защиты.

Учитывая активную работу большого количества антивирусных компаний, в начале 2012 года было зафиксировано множество новых заражений, что превышает прошлогодние показатели. Не считая современных автоматических алгоритмов, обход слежки и поддержку шифрования, TDL4 поддерживает связь только в одноуровневой сети под названием Kad (аналог файлообменных сетей).
Кроме этого, вирус может заражать специальную загрузочную запись, для чего используется MBR-сектор на жестком диске. TDL4 можно считать одним из самых сложных вирусов современности.

Просмотров: 2047

Оцените статью: 1 2 3 4 5




Комментарии

Комментарий добавил(а): J_8s|0
Дата: 2012-03-12

И как же с таким бороться, если даже Касперский в задумчивости? Если неизвестен даже язык программирования, может ли быть от этого защита?

Написать комментарий




Введите  код  с  картинки

Вы не можете добавлять коментарии