|
|
|
Популярное за неделю:
Самый продвинутый в мире руткит взламывает защиту 64-битной Windows
Пресловутый руткит, который годами терзал 32-битные версии Windows, теперь добрался и до 64-битных творений корпорации Microsoft.

Умение TDL, также известного как Alureon, инфицировать 64-битные версии Windows 7 – большой успех для создателей руткита, так как Microsoft обеспечил свою операционную систему расширенными мерами безопасности, которые должны были уберечь ее от подобного рода атак. Как сообщает Prevx, руткит научился работать с 64-битными системами примерно в августе этого года.

Согласно исследованию, опубликованному в понедельник GFI Software, последняя версия TDL4 проникает в 64-битную систему путем обхода защищенного режима, который был разработан для того, чтобы драйвера могли установиться только если они были подписаны достоверным источником. Сделать это руткиту удалось путем подключения к главной загрузочной записи на жестком диске и изменения параметров загрузки.

"Параметры загрузки изменяются в памяти из кода, исполняемого инфицированным MBR", - пишет GFI Technical Fellow Чандра Пракаш. "Загрузчик определяет параметр LoadIntegrityCheckPolicy, который определяет уровень достоверности загружаемых программ. Руткит же меняет настройки этого конфига устанавливая низкий уровень проверки достоверности, который в дальнейшем позволяет ему загрузить неподписанный руткит".

Согласно исследованиям Prevx, TDl – самый продвинутый руткит, который когда либо существовал. Его используют для установки и обновления кейлоггеров и других видов вредоносных программ на зараженных машинах. Установленный однажды, он практический не заметен для любой антивирусной защиты. Будучи профессиональным методом вмешательства, руткит использует низкоуровневые команды для того, чтобы отключения дебаггеров и тем самым очень сильно затрудняет свое обнаружение.

Одной из продвинутых мер защит, которую Microsoft добавила в 64-битные версии Windows, был процесс цифровой подписи. Microsoft также добавила PatchGuard, который блокирует возможность драйверов ядра изменять важные части ядра Windows. TDL удалось перехитрить и эту защиту путем изменения главной загрузочной записи таким образом, что она может перехватывать программу загрузки Windows.

      
  

Xakep


Опубликовано: 16:35 - 16.11.2010
Комментарии









Реклама


Календарь
декабрь 2024
  Пн Вт Ср Чт Пт Сб Вс  
              1  
  2 3 4 5 6 7 8  
  9 10 11 12 13 14 15  
  16 17 18 19 20 21 22  
  23 24 25 26 27 28 29  
  30 31            
Голосование
У вас есть блог?
12.2%
Участвую в обсуждениях
6.5%
Пишу иногда
34.5%
Нет времени на ерунду
13.7%
Активный блогер
20.1%
Что это такое?
12.9%
Слежу за другими
Голосовать Всего голосов (139)
© 2007-2015