TDL4 rootkit是TDSS(Alureon) rootkit的一个变种,TDSS (Alureon) rootkit在今年早些时候曾导致微软Windows蓝屏。TDL4 rootkit复制了Stuxnet蠕虫,并以Windows Task Scheduler中的一个零日漏洞为攻击目标。
根据卡巴斯基实验室的研究人员介绍,TDL4 rootkit的创作者为其增加了一个新字符串,整合了之前被Stuxnet蠕虫所利用的零日漏洞。
根据卡巴斯基研究员Sergey Golovanov所述,TDL4 rootkit可以以Windows Task Scheduler中的权限升级漏洞为目标,这将影响Windows 7和Vista用户。该漏洞使TDL4 rootkit能在系统上安装,并绕过Windows中的用户访问控制安全工具。
Golovanov在卡巴斯基实验室博客中写道:“TDSS又一次证明了其在最复杂最危险的恶意程序中的地位。”
Stuxnet蠕虫在今年7月被发现以微软Windows零日漏洞为攻击目标。该蠕虫搜索出西门子SCADA软件,然后将其自身注入到可编程的逻辑控制程序(用来监测温度、压力和其他控制)中。
TDL4的之前版本被大多数反恶意软件程序所拦截,但是Golovanov写道一些有才的编写者仍然在编写TDL4 rootkit。最新的变种能够渗透计算机,即使该机器安装并运行了反病毒软件。
Golovanov写道,现在TDL4 rootkit已经被有组织的犯罪分子用来增加他们的僵尸网络,并且用它来联盟营销,进行SEO投毒活动。当感染了一台计算机后,该rootkit就会联系命令与控制(C&C)服务器,来接受命令,并在受害计算机上安装更多的恶意软件。
Golavanov 写道,“如果与命令与控制(C&C)服务器交互的僵尸是被加密的,这将使分析网络数据包变得更困难。一个非常强的rootkit组件既可以隐藏最重要的恶意软件组件,又可以掩盖计算机被感染的事实,网络罪犯可以通过销售小的僵尸网络并使用黑帽SEO来获利。”