前些日子我们看到一些有关TDL4的报告，这是TDSS恶意软件家族的最新一代变种，特征是具备自我散播的能力。其蠕虫组件，也就是趋势科技所检测到的WORM_OTORUN.ASH，最早是在三月初首次被发现，根据我们内部的资料，该恶意软件的活动范围一直在不断扩张。尤其北美和日本地区，似乎是感染计算机数量最多的地区。

作者：Roland Dela Paz （趋势科技威胁响应工程师）

http://s5/middle/59acc8e2ga634bbf1ef44&690

此外，这份资料也指出，TDSS幕后的歹徒正不断利用此蠕虫来拓展其傀儡僵尸网络。不过就在最近，他们又在该蠕虫内增加了一项新的功能。这一次，该蠕虫会将所感染的计算机变成一台DHCP（动态主机配置协议）服务器，并且DNS设成一个恶意IP地址。

根据趋势科技威胁分析师Brian Cortes指出，一旦这个恶意DHCP服务器连上用户的局域网，就会混淆网络上的其他计算机，让它们连上这台恶意DHCP服务器，而非局域网络真正域控制器（Domain Controller）。最终，这些计算机会连接恶意DNS服务器，而非正常DNS服务器。如果连接这个恶意IP地址，屏幕上将出现一个假的浏览器更新网站，让用户下载一份该蠕虫，或是TDL4二进制文件：

http://s13/middle/59acc8e2ga634be8213ec&690

我们已经接获好几起有关此恶意DHCP感染的用户案例。下图显示该程序的感染程序，可以让您对计算机感染时的状况有更进一步的认识。

http://s14/middle/59acc8e2ga634c2899c6d&690

有趣的是，我注意到WORM_OTURUN.ASH在下载BKDR_TDSS.ASH时所用的恶意URL和IP地址是固化在该蠕虫的程序代码内。我不是很确定该蠕虫是否为TDSS一帮人所开发，还是他们跟另一帮人合作。不过我发现这个“蠕虫-TDL4”二人组好像有点不太协调，因为该蠕虫违反了TDL4尽可能隐蔽的原则。虽然WORM_OTORUN.ASH可以很尽职地传播TDSS这套Bootkit程序，但它自己却不具备匿踪能力，因此很容易被防病毒软件侦测到。此外，它还会在系统上植入.LNK和.INF文件，而这些也都很容易被防病毒软件的行为模式扫瞄所识别，因此这是一个不太懂得保持低调的恶意软件。

虽然系统中的TDL4很难检测到，但是其蠕虫组件（加上恶意DHCP）却很容易让用户怀疑系统中毒，因此就会执行分析工具，进而暴露这个Bootkit的行踪。我不太确定歹徒是怎么想的，不过据我猜测，他们不是没有预料到这一点，只不过对自己Bootkit的精密技术非常有信心而已。

不管怎样，趋势科技的云安全扫描现在已能拦截此恶意软件相关的所有恶意URL和IP地址。我们也检查了一些和WORM_OTORUN.ASH所用IP同一区段的地址，并且发现这些地址同样也是指向一些已知的恶意文件。不过请放心，如果您要访问这些恶意URL，趋势科技的产品都会予以拦截。

＠原文来源：The Worm, the Rogue DHCP, and TDL4

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！

爱趋势社区--下载，论坛，分享  http://www.iqushi.com

官方微博—拿礼品，分享最新IT资讯  http://t.sina.com.cn/trendcloud

趋势科技CEO：陈怡桦EvaChen的微博  http://weibo.com/evatrendmicro