Руткит TDL3 получил возможность атаковать 64-битные версии Windows

После небольшого затишья в Сети появилась новая и улучшенная разновидность опасного руткита TDL3, облегчающая хакерам компрометацию 64-битных версий Windows. Специалисты фирмы Prevx, занимающейся разработкой средств для борьбы с руткитами, считают, что она серьезно обострит противоборство злоумышленников с экспертами по компьютерной безопасности.

Несмотря на широкую известность в узких кругах, большинство простых пользователей узнало о существовании руткита TDL3 лишь после того, как его наличие на инфицированных компьютерах привело к сбою при установке одного из обновлений от Microsoft. Таким образом, в начале февраля, пользователи буквально завалили жалобами форумы техподдержки Windows, сетуя на то, что после установки свежего набора обновлений их компьютеры перестали работать, демонстрируя “синие экраны смерти” (BSOD). В четверг компания Microsoft отозвала связанный с этой проблемой патч MS10-015, и занялась расследованием инцидента.

Уже в следующею пятницу было готово предварительное заключение, в котором эксперты Microsoft заявили, что в ненормальном поведении операционной системы может быть виновато вредоносное ПО. В частности, представитель компании Джерри Брайант подтвердил, что удаление обнаруженного специалистами руткита позволяет загрузить неисправную систему.

В свою очередь, Патрик Барнс, один из пользователей Windows XP, сообщил об обнаружении взаимосвязи между “синим экраном смерти” и наличием в системе опасного руткита TDSS. Барнс пишет, что он обнаружил на машине неработающий файл atapi.sys. Отправив его на анализ, Патрик получил ответ, что этот файл заражен руткитом TDSS. Программисты из Редмонда были вынуждены выпустить модифицированную версию этого патча и предложить бесплатные инструкции по удалению TDL3.

По словам исследователя Prevx Марко Джулиани, 64-битные версии Windows считаются более безопасными, чем 32-битные, поскольку в них предусмотрены дополнительные уровни защиты от модификации и перехвата команд в ядре операционной системы. На официальном блоге компании Джулиани пишет, что новые варианты TDL3 успешно справляются с этими средствами защиты и уже распространяются в Сети.

По его данным, впервые они были замечены около двух недель назад и с тех пор специалисты фиксируют все новые и новые разновидности, которые попадают на компьютеры пользователей как через специальные загрузчики, так и с помощью наборов эксплоитов и вредоносных сайтов.

В Microsoft также осведомлены о появлении обновленного руткита TDL3. Официальный представитель корпорации Джерри Брайант сообщил о том, что в компании изучают данные о 64-битной версии этого руткита. Более того, согласно его официальному заявлению, антивирусные программы семейств Microsoft Security Essentials и Forefront уже сейчас способны защитить компьютеры от данной угрозы при условии, что система не была скомпрометирована еще до их установки в нее.

Хочу напомнить, что руткит TDL3 очень опасная вредоносная программа, которая, в некоторых случаев не может быть обнаружена антивирусными программами, и по этой причине, для обнаружения и удаления руткита эксперты по информационной безопасности разрабатывают специальные Бесплатные программы для удаления новых модификаций руткита.