Вспоминания

Уже с первых минут знакомства данная вредоносная программа начинает преподносить сюрпризы. Например, на этапе инсталляции используется оригинальный способ внедрения в системный процесс. Способ документированный, но ранее ни в одном вирусе не применявшийся. Это позволило обойти (обмануть) большинство поведенческих анализаторов и безнаказанно инсталлировать свой драйвер.

Теперь инсталляция продолжается уже в режиме ядра. Руткит проходит по стеку устройств, обслуживающих системный диск, и определяет соответствующий драйвер - свою будущую жертву для заражения. На какой именно модуль упадет выбор, зависит от конфигурации оборудования. Так, например, для системы, где системный диск имеет IDE- интерфейс, это будет atapi.sys, а в другой системе им может оказаться iastor.sys. Инфицирование драйверов файловой системы, сетевых драйверов и даже самого ядра уже не раз встречалось (BackDoor.Bulknet, Win32.Ntldrbot, Trojan.Spambot и т.д.) для обеспечения автозагрузки, и данный случай не является исключением.

Стоит отметить, что размер зараженного файла не изменяется, так как код вируса перезаписывает часть секции ресурсов. Причем код этот совсем небольшой - 896 байт (в более поздних версиях уже всего 481 байта) и представляет собой загрузчик основного тела руткита. При этом меняется точка входа, обнуляется ссылка на подпись драйвера и пересчитывается новая контрольная сумма файла. Адреса API-функций, необходимых этому загрузчику во время заражения, фиксируются в его теле в виде RVA. С одной стороны, это позволило существенно сократить его размер, а с другой - затруднить исследование зараженного драйвера на системе с другой версией ядра.

Затем вирус оценивает размер диска и выделяет для себя небольшой участок (24064 байта) с конца диска, где будет храниться основное тело руткита. Фактически, основным телом руткита становится часть драйвера, который занимается инсталляцией, но уже в виде бинарных данных, а не исполняемого образа. Этот блок начинается с маркера 'TDL3', далее следует 896 байт оригинальной секции ресурсов из зараженного драйвера. Там же, в конце диска, организуется отдельный виртуальный диск для компонентов пользовательского режима и файла конфигурации. Очень похоже, что на этот шаг авторов вдохновил BackDoor.Maxplus, который также создавал отдельное виртуальное устройство-диск для внедряемых компонентов. Подробнее об этом будет рассказано ниже.

В более поздних версиях (BackDoor.Tdss.1030) оригинальные данные ресурсов и само тело руткита сохраняются уже непосредственно на скрытом шифрованном диске в файлах rsrc.dat и tdl соответственно, что позволяет заметно облегчить возможность его обновления. После завершения инсталляции драйвер возвращает ошибку STATUS_SECRET_TOO_LONG (0xC0000154), что на самом деле информирует компоненты пользовательского режима об успехе, а систему заставляет выгрузить уже не нужный драйвер.

• аутентификации пользователя;
• хранения персональных предпочтений и настроек пользователя;
• отслеживания состояния сессии доступа пользователя;
• ведения статистики о пользователях;

1. Для чего используются файлы «cookie»?
2. Можно ли заблокировать или удалить файлы «cookie»?
3. Следует ли блокировать все файлы «cookie»?
4. Что такое временные файлы «cookie»?
5. Что такое постоянные файлы «cookie»?
6. Что такое основные файлы «cookie»?
7. Что такое сторонние файлы «cookie»?
8. Приватность и сторонние куки
9. Заблуждения

- Как включить все cookies в Google Chrome?
- Как включить все cookies в Internet Explorer 8?
- Как включить все cookies в Mozilla Firefox?
- Как включить все cookies в Opera?
- Как включить все cookies в Safari?

- Как удалить файлы cookies в Google Chrome?
- Как удалить файлы cookies в Internet Explorer 8?
- Как удалить файлы cookies в Mozilla Firefox?
- Как удалить файлы cookies в Opera?
- Как удалить файлы cookies в Safari?

- Как блокировать всех файлов cookies в Google Chrome?
- Как блокировать всех файлов cookies в Internet Explorer 8?
- Как блокировать всех файлов cookies в Mozilla Firefox?
- Как блокировать всех файлов cookies в Opera?
- Как блокировать всех файлов cookies в Safari?

1. Вы посещаете защищенный веб-узел?
2. Сертифицирован ли данный веб-узел сертифицирующей интернет-организацией?
3. Принадлежит ли веб-узел хорошо известной компании или организации?
4. Запрашивает ли веб-узел личные сведения?
5. Есть ли на веб-узле розничного магазина контактные данные, позволяющие связаться с сотрудниками магазина по телефону или по почте?
6. Если веб-узел вам неизвестен, существуют ли какие-либо дополнительные сведения, которые могут помочь в принятии решения?
7. В каких случаях не следует доверять веб-сайту?

1. Что такое безопасное подключение?
2. Являются ли безопасные подключения закрытыми?
3. Каковы признаки безопасного подключения?
4. Почему строка состояния безопасности меняет цвет?
5. Требуется ли обновлять учетные записи в Интернете для использования сертификатов высокой надежности (EV)?
6. Что делать, если данный веб-сайт, возможно, пытается выдать себя за другой?
7. Если веб-сайт поддерживает безопасные транзакции, означает ли это, что он безопасен?
8. Как повысить безопасность интерактивных транзакций?
9. Что означает наличие безопасного и небезопасного (смешанного) содержимого?

- Что такое фишинг
- Что такое фильтр фишинга и как работает его защита?
- Какую информацию фильтр фишинга отсылает в корпорацию Майкрософт?
- Включен ли фильтр фишинга постоянно?
- Как проверить веб-сайт вручную?
- Что означает отметка веб-сайта в качестве подозрительного?
- Что означает: веб-сайт помечен как обнаруженный поддельный?
- Один из посещаемых сайтов был помечен фильтром фишинга, но он не является поддельным. Что можно сделать?
- Как сообщить о поддельном веб-сайте?
- Следует ли доверять веб-сайту, рекомендующему пропустить предупреждение фильтра фишинга?
- Каким образом фильтр фишинга избегает ошибочной идентификации веб-сайтов как поддельных?
- Можно ли создать пользовательский список надежных сайтов для фильтра фишинга?
- Почему Internet Explorer сообщает, что служба фильтра фишинга недоступна?
- Как отключить фильтр фишинга?
- Как снова включить фильтр фишинга?
- Каковы способы защиты от фишинга в Интернете?
- Что делать, если личная или финансовая информации была введена в форму на поддельном веб-сайте?
- Что делать пострадавшему от мошенничества в Интернете?