tdss rookit وطريقة جديدة للانتشار

قام الفريق المطور ل tdss rookit بإضافة تعديل عليها يمنحها القدرة على نشر نفسها ذاتيّاً. هذا التعديل لا يعطيها فقط القدرة على نسخ نفسها على أنظمة أخرى، وإنّما أيضاً تثبيت خادم DHCP خاص بها على الشبكة وإجبار الأجهزة الاخرى على الاتصال بخادم DNS بعيد.

TDSS قامت بإصابة العديد من الحواسيب منذ ظهورها قبل ثلاث سنوات، ولكن هذه المرّة الأولى التي اكتشف فيها الباحثون نوع جديد منها قادر على النّشر الذّاتي. ال rootkit لديها الآن القدرة على الانتشار عبر ذاكرة متنقلة مصابة، او عبر الشّبكة حسب الخبير الامني سيرجي جولوفانوف.

عندما تنتشر الدّودة عبر الشّبكة المحليّة، فإنّها تتبع الطريقة التالية: عندما تصيب حاسوباً فإنّها تقوم بالبحث عمّا إذا كان هناك خادم DHCP مستخدم على الشبكة. إذا كان حاسوب الضحيّة على شبكة تستخدم بروتوكول DHCP، فإن الدودة ستبدأ بمسح الشبكة بحثاً عن عناوين متوفرة. بعد ذلك تقوم الدّودة بتشغيل خادم DHCP الخاص بها وتبدأ بالاستماع على الشبكة. اذا اكتشفت طلب عنوان من حاسوب على الشبكة، تحاول الدودة أن تكون أول من يرد على هذا الطلب. في الرّد تقوم TDSS  بإرسال عنوان للحاسوب من طابور العناوين لديها بالإضافة إلى خادم ال DNS التّابع للمهاجم. عندما يحصل ذلك، لن يستطيع الضحيّة استخدام المتصفح حتى يقوم بتحميل برنامج ضار آخر والذي يظهر كتحديث مطلوب للمتصفح.

معرفة المستخدم أو مدير الشبكة بطبيعة هذه الدّودة سوف تساعده على اكتشاف وجودها على شبكته إن ظهرت له أعراض مشابهة في شبكته.

المصدر: ثريت بوست.