|
|
|
Популярное за неделю:
Самый продвинутый в мире руткит взламывает защиту 64-битной Windows
Пресловутый руткит, который годами терзал 32-битные версии Windows, теперь добрался и до 64-битных творений корпорации Microsoft.

Умение TDL, также известного как Alureon, инфицировать 64-битные версии Windows 7 – большой успех для создателей руткита, так как Microsoft обеспечил свою операционную систему расширенными мерами безопасности, которые должны были уберечь ее от подобного рода атак. Как сообщает Prevx, руткит научился работать с 64-битными системами примерно в августе этого года.

Согласно исследованию, опубликованному в понедельник GFI Software, последняя версия TDL4 проникает в 64-битную систему путем обхода защищенного режима, который был разработан для того, чтобы драйвера могли установиться только если они были подписаны достоверным источником. Сделать это руткиту удалось путем подключения к главной загрузочной записи на жестком диске и изменения параметров загрузки.

"Параметры загрузки изменяются в памяти из кода, исполняемого инфицированным MBR", - пишет GFI Technical Fellow Чандра Пракаш. "Загрузчик определяет параметр LoadIntegrityCheckPolicy, который определяет уровень достоверности загружаемых программ. Руткит же меняет настройки этого конфига устанавливая низкий уровень проверки достоверности, который в дальнейшем позволяет ему загрузить неподписанный руткит".

Согласно исследованиям Prevx, TDl – самый продвинутый руткит, который когда либо существовал. Его используют для установки и обновления кейлоггеров и других видов вредоносных программ на зараженных машинах. Установленный однажды, он практический не заметен для любой антивирусной защиты. Будучи профессиональным методом вмешательства, руткит использует низкоуровневые команды для того, чтобы отключения дебаггеров и тем самым очень сильно затрудняет свое обнаружение.

Одной из продвинутых мер защит, которую Microsoft добавила в 64-битные версии Windows, был процесс цифровой подписи. Microsoft также добавила PatchGuard, который блокирует возможность драйверов ядра изменять важные части ядра Windows. TDL удалось перехитрить и эту защиту путем изменения главной загрузочной записи таким образом, что она может перехватывать программу загрузки Windows.

      
  

Xakep


Опубликовано: 16:35 - 16.11.2010
Комментарии









Реклама


Календарь
февраль 2023
  Пн Вт Ср Чт Пт Сб Вс  
      1 2 3 4 5  
  6 7 8 9 10 11 12  
  13 14 15 16 17 18 19  
  20 21 22 23 24 25 26  
  27 28            
Голосование
У вас есть блог?
13.6%
Активный блогер
18.2%
Что это такое?
13.6%
Слежу за другими
6.4%
Участвую в обсуждениях
4.5%
Пишу иногда
43.6%
Нет времени на ерунду
Голосовать Всего голосов (110)
© 2007-2015