Уже много было сказано о руткитах TDSS и ZeroAccess, а также об их сходстве. Исследователи из Trend Micro обнаружили нечто, что может указывать на прямую связь между этими семействами вредоносного ПО. Возможности руткитов TDSS и ZeroAccess хорошо задокументированы. Оба вредоноса используют пиринговую связь, а посылаемый ими трафик зашифрован методом кодирования base64 и состоит из “мусорных” символов. Кроме того, обе программы нацелены на осуществление кликфрода.
По словам исследователей, TDSS и ZeroAccess поддерживают пиринговые сети с похожими функциями, но реализованы по-разному. ZeroAccess инфицирует COM-объекты и service.exe, тогда как TDSS поражает MBR. Примечательно то, что, при обнаружении на компьютере жертвы TDSS, ZeroAccess деактивирует его. Из этого можно сделать вывод, что руткиты созданы соперничающими разработчиками и распространяются злоумышленниками, враждующими между собой.
Тем не менее, исследователи обнаружили, что некоторые новые версии TDSS и сравнительно старая версия ZeroAccess одновременно использовали один и тот же домен. Эксперты считают, что модуль, содержащий алгоритм генерации доменного имени, который использовался в более ранней версии ZeroAccess, был адаптирован для новых версий TDSS, в частности, для DGAv14. Однако, по словам исследователей, это не обязательно должно свидетельствовать о сотрудничестве между разработчиками обоих руткитов. “Модуль DGA мог быть получен от сторонних источников, и/или разработчики TDSS получают деньги, используя составляющие ZeroAccess”, – сообщили в Trend Micro. (Trend Micro/NovostIT)