Similar cu familia Conficker în ceea ce priveşte metodele de auto-apărare, acest vierme restricţionează accesul la site-urile producătorilor de antivirus şi dezactivează alte instrumente de protecţie.
Dacă platformele Yahoo! Messenger şi MSN Messenger au fost masiv exploatate de viermi, utilizatorii de Skype au fost mai putin expuşi la astfel de ameninţări. Deşi viermii care se răspândesc prin trimiterea de link-uri nu sunt o noutate în peisajul malware actual cu diverse familii care afectează diferite servicii de mesagerie instantă active in mediul online, cele mai multe dintre acestea nu sunt greu de îndepărtat şi nu vin cu un mecanism suplimentar de protecţie. Spre deosebire de viermii uzuali pentru platforme de mesagerie instantă, Backdoor.Tofsee posedă un set de trucuri pentru a evita detecţia şi eliminarea, precum şi cu modalităţi multiple de a face rău utilizatorilor şi calculatoarelor acestora.
Viermele se bazează pe inginerie socială pentru a păcăli utilizatorul să descarce şi ruleze o copie a sa pe calculator. Iniţial, acesta caută setările locale ale sistemului (ţara, limba şi moneda locală) pentru a determina în ce limbă să trimită mesajele. Poate folosi engleza, spaniola, italiana, olandeza, germana si franceza pentru a se trimite către contactele din Skype™ sau Yahoo!® Messenger. Pentru a reduce orice urmă de suspiciune, mesajele folosite de vierme nu se vor repeta în timpul conversaţiei şi se vor actualiza constant de la distanţă.
Mai mult chiar, viermele va trimite mesajul în timpul unei conversaţii în desfăşurare şi nu va iniţia o conversaţie. Cum utilizatorul neavizat va da click pe link-ul infectat, aceştia vor fi directionaţi către o pagina falsă care arată identic cu o pagină a serviciului de partajare de fişiere Rapidshare. Dacă utilizatorul continuă procesul de descărcare accesând link-ul de download, acesta va primi o arhivă .zip numită NewPhoto024.JPG.zip. După dezarhivare se obţine un fişier executabil NewPhoto024.JPG_www.tinyfilehost.com. Fişierul arată ca un .jpg urmat de un URL, însă şirul de caractere “.com” nu face parte din URL, ci este de fapt formatul fisierului (o aplicaţie executabilă MS-DOS). Odată executat, fişierul interoghează Windows Registry pentru a verifica dacă aplicaţiile Skype sau Yahoo Messenger sunt instalate. Dacă nici o aplicaţie nu este găsită pe calculator, viermele va ieşi fără să infecteze sistemul. În schimb, dacă găseşte fişierele, viermele va porni infectarea, nu înainte de a se asigura că nu este analizat într-o maşină virtuală printr-o verificare a Performance Counter.
În cazul în care viermele detectează că este rulat într-o maşină virtuală sau în interiorul unui debugger, se auto-elimină, altfel crează un proces “child” suspendat şi injectează codul său decriptat în acesta. După injectarea cu succes a codului, procesul “child” este reactivat, iar procesul “parent” se auto-închide.
Pentru a se ascunde de sistemul de operare, viermele declanşează ultima sa armă de apărare: un driver rootkit care ascunde fişiere, monitorizează activitatea pe internet a calculatorului infectat şi previne accesul la URL-uri asociate cu producătorii de antivirus, scanări online, forumuri de suport tehnic şi bineînţeles, la actualizarea Windows. Ca noutate, viermele restricţionează accesul la un număr ridicat de portaluri de download care ar putea găzdui instrumente de dezinfectare şi utilităţi antivirus.
După ce a compromis sistemul, viermele îşi adaugă cheia de start-up în regiştrii Windows. De asemenea, dezactivează firewall-ul din sistemul de operare pentru a crea o breşă în securitatea sistemului şi pentru a permite unui atacator accesul de la distanţă la sistemul infectat. Pentru a înrăutăţi situaţia, componenta rootkit previne instalarea oricărui fişier cunoscut a fi un produs antivirus. Backdoor.Tofsee identifică aceste produse prin numele fişierelor, astfel încât redenumirea kit-ului de instalare blocat poate rezolva această problemă.
Mecanismul de răspândire a viermelui nu se reduce doar prin spamul trimis prin Skype şi YIM. Acesta se copiază de asemenea pe orice dispozitive de stocare mobile ataşate replicându-se într-un director nou denumit ~secure şi creând un fişier autorun.inf ce va iniţializa rularea sa automată. Viermele mai generează un al doilea folder denumit Temp002, în care va copia un fişier executabil infectat cu Trojan.Vaklik.AY. Toate fişierele create au atributele archive, hidden şi system activate pentru a se ascunde de Windows Explorer.
Backdoor.Tofsee este o ameninţare informatică extrem de periculoasă, deoarece permite accesul de la distanţă al atacatorilor care pot prelua controlul total asupra maşinii infectate şi o pot folosi în diverse scopuri ilegale. Pentru siguranţă, BitDefender recomandă utilizatorilor instalarea şi actualizarea în mod regulat a unei soluţii antimalware cu antispam, antiphishing, antivirus şi firewall.
{mosloadposition user10}