ارتباط بین خانواده‌ی روت‌کیت‌های TDSS و ZeroAccess

موسسه خبری سایبربان:پیرامون روت‌کیتِ نسبتاً جدید ZeroAccess و روت‌کیت نسبتاً قدیمی TDSS یا TDL اخبار زیادی منتشر شده و شباهت‌های بین این دو بدافزار پیش از این ذکر شده است؛ اما اخیراً پژوهش‌گران ترندمیکرو به مواردی دست پیدا کردند که ارتباط مستقیم بین این دو خانواده‌ی بدافزاری را نشان می‌دهد.

 

هر دو بدافزار ذکر شده دارای قابلیت‌های روت‌کیت مستندشده و شناخته‌شده‌ای هستند؛ هر دو از تکنیک‌های ارتباطی نظیر به نظیر استفاده کرده و ترافیک ارسالی را با استفاده از base64 رمز کرده و با نویسه‌های بی‌مصرف مخلوط می‌کنند. به‌علاوه هر دو بدافزار یک هدف دارند: حقه‌ی کلیک.

 

اما به گفته‌ی پژوهش‌گران این دو بدافزار شبکه‌های نظیر به نظیرِ جداگانه‌ای با ویژگی‌های مشابه و البته پیاده‌سازی متفاوتی را نگهداری می‌کنند. علاوه بر آن ZeroAccess همواره اشیاء COM و service.exe را آلوده می‌کند در حالی که TDSS اقدام به آلوده‌سازی رکورد راه‌انداز اصلی1 می‌نماید.

 

جالب است بدانید که ZeroAccess در صورت یافتن TDSS در رایانه‌ی در معرض خطر، آن را غیرفعال می‌کند و این امر نشان می‌دهد که این دو روت‌کیت و افرادِ پشت پرده رقیبِ هم به حساب می‌آیند.

اما اکنون پژوهش‌گران دریافتند که نسخه‌ی قدیمی‌ترِ ZeroAccess و برخی نمونه‌های جدیدترِ TDSS از دامنه‌های یکسان در یک روز استفاده کرده‌اند.

 

پژوهش‌گران توضیح دادند: «به اعتقاد ما مولفه‌ی الگوریتم تولید دامنه‌ای2 که توسط نسخه‌ی قدیمی‌ترِ بدافزار ZeroAccess استفاده شده با موردی که در TDSS به کار رفته، مطابقت دارد.» البته آن‌ها در ادامه توضیح دادند این امر لزوماً به این معنی نیست که مجرمان سایبریِ مسئول مستقیماً با هم در ارتباطند. مثلاً ممکن است مولفه‌ی DGA از برنامه‌ی دیگری حاصل شده باشد و یا حتی ممکن است TDSS با میزبانی بخش‌هایی از ZeroAccess اقدام به کسب درآمد می‌کند.

 

با این حال این کشف نشان می‌دهد که ارتباطاتی بین این دو خانواده‌ی بدافزاری وجود دارد.