TDSS: полное раскрытие

[SDA]

* Часть 1. Вскрытие
o Партнёрская программа
o Командные сервера
o База данных
o Скрипты
o «Чёрный ход»
o Повышение привилегий
o Панель управления
o Смена серверов
* Часть 2. Анализ
o База данных и скрипты
o Запросы от ботов к серверу
o Учётные записи партнёров
o Таблица ботов
o Система команд
o Модули «полезной нагрузки»
o Статистика

Алиса Шевченко. Анализ руткита TDSS.

Дмитрий Олексюк. TDSS Rootkit: Дальнейшее развитие и текущее состояние.

Бот-руткит TDSS на сегодняшний день хорошо изучен. Однако ни одно из исследований не идёт дальше анализа кода вредоносной программы и источников её распространения. Данная статья призвана восполнить этот пробел, осветив скрытые механизмы ботнета и его объективные характеристики.

Кроме того, при публикации этого материала мы преследовали еще одну цель: представить методологию расследования компьютерных преступлений. Данное исследование демонстрирует, как, имея на руках только инструмент злоумышленников (бинарный файл трояна), выйти на «цифровое ядро» киберформирования и проанализировать его. Следует заметить, что применяемый подход позволяет извлечь всю техническую информацию об инциденте, в то время как задача установления личностей атакующих и привлечения их к ответственности остаётся в сфере компетенции правоохранительных органов.
далее http://www.nobunkum.ru/issue003/tdss-botnet/

[SDA]

.....Как видно из диаграммы, операционная система Windows XP, в которой не поддерживаются современные защитные механизмы (UAC, DEP и ASLR), является наиболее уязвимой для вредоносных программ. Относительно малое число заражений операционной системы Windows 7 не связано с долей данной операционной системы в числе остальных (которая достаточно высока). Можно предположить, что доставка бота на компьютеры с Windows 7 осуществлялась преимущественно методами социальной инженерии......