TDSSrootkit是众多复杂攻击背后难以删除的恶意软件

臭名昭著的TDSSRootkit以其多功能性而闻名，因为它已被用于偷渡式下载和各种基于恶意软件的针对性攻击。根据DellSecureworks的说法，现在看来它已成为DNSchanger木马的交付机制。DellSecureworksCounterThreat部门的研究人员于11月11日表示，他们已经看到TDSS将木马下载并安装到受感染的系统上。研究人员说，近几周来有60万至100万个唯一IP地址感染了DNSchanger木马。

DNSchanger的主要功能是更改受害者计算机上的域名系统(DNS)设置，并通过将Web流量定向到攻击者控制的站点来劫持用户的在线冲浪体验。

DNS服务器充当Web上的电话目录，将域名转换为服务器的实际IP地址，从而使用户不必记住数字代码。通过更改DNS配置，用户可能正在输入域名(例如Netflix)，并被转移到恶意站点。

DellSecureworks研究人员写道：ldquo;与DNSChanger恶意软件感染有关的主要忧虑之一是，它通常表明您的系统已感染了更大的恶意软件组合。rdquo;鸡尾酒可能包括其他恶意软件类型，例如流氓防病毒软件，宙斯银行木马或垃圾邮件机器人。

如果系统具有DNSchanger，则很可能存在多种恶意软件，其中一些具有rootkit功能和修改主启动记录的功能。据DellSecureworks研究人员称，这给删除DNSchanger和相关的恶意软件带来了挑战。他们写道，如果DNSchanger已由系统上已经存在的TDSSrootkit下载，则清理系统变得ldquo;极其困难rdquo;。

趋势科技高级威胁研究员PaulFerguson告诉eWEEK，删除恶意软件本身并不难。他说，补救的挑战在于识别所有受害者，并确保该恶意软件不会被潜伏在系统中的其他难以检测到的恶意软件重新下载。弗格森说，互联网服务提供商将在未来四个月内确定受害者并清理系统。

根据DellSecureworks的说法，攻击者可以使用DNSchanger来控制流量，作为按点击付费广告欺诈方案的一部分，以发起中间人攻击并安装其他恶意软件。研究人员说：ldquo;控制DNS使攻击者可以完全访问系统。rdquo;

上周，联邦调查局(FBI)捣毁了一个网络环，据称该网络环已使用DNSchanger作为大规模的按点击付费广告欺诈计划的一部分，该计划在过去五年中至少获利1400万美元，并感染​​了约400万台计算机。有六名爱沙尼亚人被捕，而第七名是俄罗斯国民，仍逍遥法外。被捕嫌犯正在等待引渡到美国接受审判。

该活动之所以ldquo;值得关注rdquo;，是因为该团伙必须维护一组恶意DNS服务器来控制受感染的计算机，CoreroNetworkSecurity首席战略官MikePaquette告诉eWEEK。

组织应通过鼓励用户练习安全的安全卫生措施来保护用户，例如不要从未知站点安装软件，不要单击电子邮件中的链接以及在网上冲浪时要小心。Paquette说，大多数主要的防病毒工具都可以检测并删除DNSchanger，因此，安装最新的扫描程序很重要。

TDSSrootkit并不是DNSchanger传播的唯一途径。根据趋势科技的Ferguson的说法，用户自己下载了一个较早的版本，作为社会工程攻击的一部分，该站点承诺如果用户安装了正确的编解码器文件，则该网站将显示视频。

不过，Spamhaus分析师QuentinJenkins在11月15日的博客文章中写道，一旦用户沦为网络分子的猎物，ISP应该成为捕捉用户的ldquo;安全网rdquo;。SpamhausProject是一个国际组织，负责跟踪电子邮件垃圾邮件发送者和恶意活动，并编制多个黑名单。

根据詹金斯的说法，Spamhaus于几年前首次发现该活动时，将DNSchanger帮派控制的所有IP地址范围移动到其ldquo;不路由或对等列表rdquo;(DROP)中。詹金斯说，DROP列表是由网络分子控制的所有服务器的完整列表，并指出任何人都可以使用它来保护网络和用户。

ISP可以阻止对这些ldquo;恶意区域rdquo;的DNS访问，也可以记录单个系统为达到这些目的而进行的所有尝试。他说，结果报告可以由ISP用来联系用户，并告知他们他们似乎感染了恶意软件。

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。