Специалисты корпорации Symantec раскрыли подробности об активной вирусной угрозе Tidserv. Вредоносная утилита имеет функции руткита, что сильно осложняет ее обнаружение.
Вирус Tidserv (TDL) был обнаружен еще в 2008 году, но остается активным до настоящего времени. Самая активная версия Tidserv в процессе работы использует платформу CEF (расшифровывается Chromium Embedded Framework). Это не первый зафиксированный случай использования легитимного ПО в деструктивных целях, но в этом случае для полноценной работы вируса необходимо дополнительная загрузка файлов (50 мегабайт). Специалисты отметили, что это очень несвойственно для вредоносных приложений.
Backdoor.Tidserv обладает стандартной модульной структурой, что позволяет вирусу оперативно подгружать вредоносные компоненты и интегрировать их в активные системные процессы. Прежние версии Tidserv использовали модуль serf332 для сетевых операций (всплывающая реклама, автоматические переходы по рекламным ссылкам и т.д.). Данные операции реализовывались при помощи COM-объектов открытия Интернет-страниц и анализа содержимого. Недавно специалисты Symantec выявили, что Tidserv использовать новый модуль cef32. Функционал модуля аналогичен serf332, но cef32 для работы требует присутствия библиотеки cef.dll, которая входит в состав CEF. В большинстве случаев это означает, что требуется загрузка всех модулей Chromium Embedded Framework объемом порядка 50 мегабайт.
CEF предоставляет функционал управления браузером для интеграции его в приложения. Компоненты CEF предоставляют все необходимые функции для работы обозревателя (разбор HTML, запуск JavaScript).
Специалисты пояснили, что использование платформы CEF позволяет вредоносному приложению снять с себя выполнения большей части "браузерных" функций (они выполняются библиотеками Chromium Embedded Framework). Вредоносные модули уменьшаются в объеме, а расширение функционала заметно упрощается. Ссылка на скачивание архива с файлами CEF "зашита" в код вируса и смена источника требует редактирования самого исполняемого модуля.
