получить список запущенных процессов.
выгрузить драйвер;
получать имя текущего процесса;
уничтожить текущий процесс;
блокировать выполнение потока;
уничтожить поток;
Также драйвер способен выполнять несколько других функций, направленных на активное противодействие антивирусам:
сокрытие загруженных DLL библиотек.
сокрытие сетевых портов TCP;
внедрение вредоносного кода в системные процессы из драйвера режима ядра;
сокрытие файлов на диске;
сокрытие веток реестра путем;
Основные функции маскировки, реализуемые clbdriver.sys:
Первая версия TDL была обнаружена Kaspersky Lab в апреле 2008 года, назван так по наличию многочисленных идентификаторов, начинающихся с символов 'tdl'. Дроппер TDL-1 содержал два главных файла: непосредственно драйвер-руткит clbdriver.sys и библиотеку clbdll.dll, в которой и находился основной функционал (полезная нагрузка). На тот момент методы перехвата функций были достаточно тривиальными и не отличались новаторством.
Порой различия в стиле написания и применяемых принципах работы вредоносного программного обеспечения значительно отличается от образца к образцу. Одни делают ставку на полиморфизм, другие на руткит компоненту. Особенно в плане развития руткит технологий отличилось семейство ВПО TDL. Как известно, новое это хорошо забытое старое. На заре развития персональных ЭВМ, основную массу ВПО составляли вирусы, которые подразделялись на два класса файловые и загрузочные (были и комбинированные, например, печально известный OneHalf). Достойным продолжателем дела загрузочных вирусов является TDSS (TDL-4), хоть и является троянской программой (не способной самостоятельно распространяться). Буткит слово, образованное из слов бут (boot, загрузочная область) и руткит (rootkit, средство сокрытия признаков деятельности). Но прежде чем стать буткитом, TDL проделал большой путь.
Больше руткитов «хороших» и разных. Part I
Отображать сообщения .
21 сентября 2012 в 01:47
хабрахабр:все записи
Заголовок (необязательно):
Комментариев нет:
Отправить комментарий