В Symantec сообщили подробности об угрозе Tidserv, которая использует функционал руткита, вследствие чего обнаружить ее крайне сложно. Для функционирования вредоносной программе необходима среда Chromium Embedded Framework, поэтому она дополнительно закачивает на зараженный компьютер порядка 50 Мбайт, что довольно необычно для вредоносных программ.
Backdoor.Tidserv имеет компонентную структуру, что позволяет ему подгружать новые модули и сразу же встраивать их в процессы ОС. В более ранней версии Tidserv модуль serf332 использовался для сетевых операций, таких как, например, автоклики и рекламные всплывающие окна. Для их реализации используются COM-объекты открытия страниц и анализа их содержимого. Недавно эксперты Symantec обнаружили, что Tidserv начал скачивать для использования новый модуль с названием cef32. Этот новый модуль имеет тот же функционал, что и serf332, однако он также требует наличия библиотеки cef.dll, являющейся частью Chromium Embedded Framework.
Использование программной среды CEF позволяет Tidserv снять с себя реализацию большей части своего «браузерного» функционала и возложить его исполнение на библиотеки CEF. Таким образом, модули вредоносной программы становятся меньше, а расширять их функционал оказывается проще. Оборотной же стороной медали стала необходимость загрузки библиотеки cef.dll. Ссылка для загрузки zip-архива с CEF «вшита» непосредственно в исполняемый код модуля, и любое изменение источника, таким образом, потребует обновления и самого модуля.
Авторы CEF не рассчитывали на использование своего продукта в криминальных целях, и предпринимают и будут предпринимать все возможные действия, чтобы пресечь подобные попытки. Именно поэтому с сайта Google Code была удалена библиотека, использованная злоумышленниками при создании этого вируса, и изучаются способы ее предоставления пользователям лишь в максимально защищенном от подобных угроз исполнении.