Информационная безопасность компьютерных систем и защита конфиденциальных данных
Новости

Руткит TDL3 получил возможность атаковать 64-битные версии Windows

автор: Zorro | 31 августа 2010, 16:59 | Просмотров: 3796
теги: руткит, угрозы безопасности, TDL3

Руткит TDL3 получил возможность атаковать 64-битные версии Windows После небольшого затишья в Сети появилась новая и улучшенная разновидность опасного руткита TDL3, облегчающая хакерам компрометацию 64-битных версий Windows. Специалисты фирмы Prevx, занимающейся разработкой средств для борьбы с руткитами, считают, что она серьезно обострит противоборство злоумышленников с экспертами по компьютерной безопасности.

Несмотря на широкую известность в узких кругах, большинство простых пользователей узнало о существовании руткита TDL3 лишь после того, как его наличие на инфицированных компьютерах привело к сбою при установке одного из обновлений от Microsoft. Таким образом, в начале февраля, пользователи буквально завалили жалобами форумы техподдержки Windows, сетуя на то, что после установки свежего набора обновлений их компьютеры перестали работать, демонстрируя “синие экраны смерти” (BSOD). В четверг компания Microsoft отозвала связанный с этой проблемой патч MS10-015, и занялась расследованием инцидента.

Уже в следующею пятницу было готово предварительное заключение, в котором эксперты Microsoft заявили, что в ненормальном поведении операционной системы может быть виновато вредоносное ПО. В частности, представитель компании Джерри Брайант подтвердил, что удаление обнаруженного специалистами руткита позволяет загрузить неисправную систему.
Софт

Бесплатные программы для удаления новых модификаций BackDoor.Tdss

автор: Administrator | 17 марта 2010, 00:16 | Просмотров: 16469
теги: Софт, руткит, BackDoor.Tdss, угрозы безопасности, TDL3, программы, защита компьютера

Хорошо известно, что в большинство случаев, вирусописатели, идут, как минимум, на один шаг впереди своих "врагов" — разработчики и производители антивирусных программ. И в этом нет ничего сверхъестественно: сначала, вирусописатели составляют совсем не легкие "загадки", и только после этого, специалисты должны разгадывать их.

А по мнению экспертов из области информационной безопасности, автор руткита TDSS, является одни из лучших профессионалов в своем области, который может перевернуть вверх дном все старании антивирусных компании. Так как, автор работает постоянно над руткитом, "улучшает" его код и добавляет новые возможности — таким образом, делая почти невозможно обнаружения присутствие BackDoor.Tdss на зараженной системе.
Статьи

От BackDoor.Tdss.565 и выше (aka TDL3)

автор: Administrator | 16 февраля 2010, 11:47 | Просмотров: 12808
теги: Статьи, BackDoor.Tdss.565, TDL3, троян, Безопасность, троянец, руткит, драйверы, автозапуск

Инсталляция
Уже с первых минут знакомства данная вредоносная программа начинает преподносить сюрпризы. Например, на этапе инсталляции используется оригинальный способ внедрения в системный процесс. Способ документированный, но ранее ни в одном вирусе не применявшийся. Это позволило обойти (обмануть) большинство поведенческих анализаторов и безнаказанно инсталлировать свой драйвер.

Теперь инсталляция продолжается уже в режиме ядра. Руткит проходит по стеку устройств, обслуживающих системный диск, и определяет соответствующий драйвер - свою будущую жертву для заражения. На какой именно модуль упадет выбор, зависит от конфигурации оборудования. Так, например, для системы, где системный диск имеет IDE- интерфейс, это будет atapi.sys, а в другой системе им может оказаться iastor.sys. Инфицирование драйверов файловой системы, сетевых драйверов и даже самого ядра уже не раз встречалось (BackDoor.Bulknet, Win32.Ntldrbot, Trojan.Spambot и т.д.) для обеспечения автозагрузки, и данный случай не является исключением.

Стоит отметить, что размер зараженного файла не изменяется, так как код вируса перезаписывает часть секции ресурсов. Причем код этот совсем небольшой - 896 байт (в более поздних версиях уже всего 481 байта) и представляет собой загрузчик основного тела руткита. При этом меняется точка входа, обнуляется ссылка на подпись драйвера и пересчитывается новая контрольная сумма файла. Адреса API-функций, необходимых этому загрузчику во время заражения, фиксируются в его теле в виде RVA. С одной стороны, это позволило существенно сократить его размер, а с другой - затруднить исследование зараженного драйвера на системе с другой версией ядра.

Затем вирус оценивает размер диска и выделяет для себя небольшой участок (24064 байта) с конца диска, где будет храниться основное тело руткита. Фактически, основным телом руткита становится часть драйвера, который занимается инсталляцией, но уже в виде бинарных данных, а не исполняемого образа. Этот блок начинается с маркера 'TDL3', далее следует 896 байт оригинальной секции ресурсов из зараженного драйвера. Там же, в конце диска, организуется отдельный виртуальный диск для компонентов пользовательского режима и файла конфигурации. Очень похоже, что на этот шаг авторов вдохновил BackDoor.Maxplus, который также создавал отдельное виртуальное устройство-диск для внедряемых компонентов. Подробнее об этом будет рассказано ниже.

В более поздних версиях (BackDoor.Tdss.1030) оригинальные данные ресурсов и само тело руткита сохраняются уже непосредственно на скрытом шифрованном диске в файлах rsrc.dat и tdl соответственно, что позволяет заметно облегчить возможность его обновления. После завершения инсталляции драйвер возвращает ошибку STATUS_SECRET_TOO_LONG (0xC0000154), что на самом деле информирует компоненты пользовательского режима об успехе, а систему заставляет выгрузить уже не нужный драйвер.