Een beruchte Windows-rootkit die al sinds 2008 actief is heeft een nieuwe methode om zich op besmette computers te verbergen, namelijk het gebruik van opensourcesoftware. Nu komt het vaker voor dat malware legitieme software gebruikt, in het geval van de Tidserv malware (ook bekend als TDL) gaat het om het Chromium Embedded Framework (CEF).
Zonder het downloaden van dit 50MB grote raamwerk kan de malware niet correct functioneren. Volgens Kevin Savage van Symantec is dit zeer bijzonder voor malware.
Chromium Embedded Framework
CEF is een uitbreiding voor het Chromium project van Google. Het biedt ontwikkelaars een eenvoudige manier om een op HTML5 gebaseerde grafische gebruikersinterface in een desktopapplicatie te implementeren of browsereigenschappen aan een applicatie toe te voegen.
De Tidserv malware gebruikt een modulair framework om nieuwe modules te downloaden en die in schone processen te injecteren. Voorgaande versies gebruikten hiervoor een bepaalde module die netwerkactiviteiten zoals het klikken op links en tonen van advertentie pop-ups voor zijn rekening nam.
Module
Symantec ontdekte onlangs een nieuwe variant die een nieuwe module gebruikt. Deze module vereist het bestand cef.dll, wat onderdeel van CEF is. Om dit bestand te verkrijgen downloadt de malware het gehele Chromium Embedded Framework van 50MB op de besmette computer. Het aantal downloads van CEF is de afgelopen dagen flink gestegen.
Hoeveel downloads met de malware te maken hebben is onduidelijk, maar als de toename wel door Tidserv is veroorzaakt, gaat het om aardig wat besmette computers. Door het gebruik van CEF kan Tidserv veel van de basale browsereigenschappen uit de eigen modules verwijderen, waardoor die kleiner worden en eenvoudiger zijn te updaten met nieuwe functionaliteit.
Reactie
De ontwikkelaars zijn inmiddels van de malware-activiteiten op de hoogte en zeggen het gebruik van CEF voor illegale doeleinden niet goed te keuren.
Daarnaast zullen er maatregelen worden getroffen om het misbruik tegen te gaan. Eén van die maatregelen is al genomen, de ontwikkelaars hebben namelijk het bestand uit het framework verwijderd waar de malware op zoek naar is.
Deze posting is gelocked. Reageren is niet meer mogelijk.