Skocz do zawartości
deFco247

Rootkit atakujący platformy 64-bit

Rekomendowane odpowiedzi

Post wcześniej znajdował się w Software, ale za sprawą siły wyższej wylądował tutaj...

 

Rozpoczęła się epoka rootkitów atakujących 64-bitowe systemy operacyjne. Tak przynajmniej uważa Marco Giuliani, ekspert ds. bezpieczeństwa z firmy Prevx. Badacze odkryli właśnie rootkita, który omija zabezpieczenia 64-bitowego Windows i jest w stanie zainfekować system.

 

Rootkit zwany Alureon, TDL czy Tidserv to ten sam szkodliwy kod, który wywoływał w lutym "niebieski ekran śmierci" na zainfekowanych komputerach z systemem Windows XP, na którym zainstalowano właśnie poprawki. Wtedy, najprawdopodobniej wskutek błędów twórców szkodliwego kodu, wcześniej zainfekowane komputery po instalacji poprawek doświadczały awarii. Microsoft wycofał poprawki i wydał je później, ale wraz z mechanizmem, który blokował ich instalację w przypadku wykrycia infekcji na komputerze użytkownika.

 

Przestępcy zmodyfikowali jego kod i, jak informują Prevx oraz Symantec, aktywnie wykorzystują szkodliwy kod.

 

Infekcja rozprzestrzenia się zarówno za pomocą witryn pornograficznych jak i specjalnych narzędzi - ostrzega Giuliani.

 

Szkodliwy kod jest bardzo zaawansowany. Omija dwie antyrootkitowe technologie w Windows - Kernel Mode Code Signing oraz Kernel Patch Protection. Rootkit dokonuje tego, jak informuje Giuliani, poprzez nadpisanie głównego sektora rozruchowego dysku twardego, co pozwala na przejęcie uruchamiania procesu uruchamiania dysku podczas startu komputera i załadowanie własnych sterowników. Rootkity przechwytujące MBR są praktycznie niewidoczne dla systemu operacyjnego i programów antywirusowych.

 

Główne komponenty Tidserva są przechowywane w formie zaszyfrowanej w nieużywanych fragmentach na końcu przestrzeni twardego dysku. To czyni je trudniejszym do wykrycia i usunięcia - mówią specjaliści z Symanteka.

 

Eksperci wciąż badają rootkit i zapowiadają ujawnienie kolejnych informacji na jego temat.

 

Nadeszła pora na stworzenie narzędzi anty-rootkit dla 64-bitowych Windows. W tej chwili teoretycznie tego rootkita raczej nie można usunąć spod działającego systemu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Eee tam można się było tego spodziewać :P Zresztą Windows 8 ma być systemem 128 bitowym to znowu będzie przez jakiś czas bezpieczny :P

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dorzucę jeszcze uzupełnienie PrevX, czyli szczegółową analizę tego wariantu: x64 TDL3 rootkit - follow up oraz artykuł Alureon Evolves to 64 Bit.

 

Póki co, mamy możliwości bardziej "statyczne"... W arsenale MBRCheck, który chodzi na platformach x64, a ewentualne leczenie (nadpis MBR) wygląda na wykonalne z poziomu płyty startowej WinRE w wersji x64. Coby sobie ułatwić ewentualną podmianę zarażonych plików, z poziomu WinRE można uruchomić przez linię komend menedżer plików wariantu portable w wersji natywnie 64-bitowej taki jak: Explorer++.

Być może także uaktualnią Kaspersky TDSSKiller o ten wariant, sama aplikacja ma już oznaczoną kompatybilność z x64.

 

EDIT: Wygląda na to, że TDSSKiller to wykrywa i potrafi usuwać (pod nazwą kodową TDL4).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Tak czy owak wygląda na to, że Windowsy x64 już nie są bezpieczne, jeśli chodzi o rootkity, choć może MS jeszcze jakoś to sensownie załata. Nadzieję można mieć, jakby nie patrzeć, to zabezpieczenia które wprowadzili nie zostały zbyt szybko złamane. Jeśli chodzi o walkę, to zawsze pozostaje działanie z zewnątrz, czy to przez WinRE, czy np. antywirusy LiveCD i UBCD. Antywirusy działające z zewnątrz mają większą szansę na namierzenie i usunięcie szkodnika, a UBCD ma narzędzia, dzięki którym można wyczyścić rejestr (Offline NT Password & Registry Editor) oraz przywrócić właściwe pliki z kopii zapasowej. Pewnym problemem jest jednak obsługa Offline NT Password & Registry Editor, która dla niedoświadczonych użytkowników może się wydać przerażająca.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Mam takiego rootkita :P

 

Sprawdź, czy dają sobie z nim radę: Online Armor (Program Guard), Comodo Internet Security (Defense+) z sandboxem i bez, Sandboxie oraz Returnil.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Sprawdź, czy dają sobie z nim radę: Online Armor (Program Guard), Comodo Internet Security (Defense+) z sandboxem i bez, Sandboxie oraz Returnil.

 

Ale co cię to w sumie obchodzi jak nie masz systemu x64 ? :D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ale co cię to w sumie obchodzi jak nie masz systemu x64 ? :D

 

Interesuje mnie jak te aplikacje zabezpieczające radzą sobie w tych systemach, ponieważ mają jednak pewne ograniczenia w dostępie do jądra.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

dla systemów 64bit został specjalnie stworzony SanityCheck, młodszy brat Rootkit Hook Analyzer

http://www.resplendence.com/sanity

natomiast dla systemów 32 bit włącznie z Win7 inne mniej znane narzędzie do analizy hooków systemowych Tuluka Kernel Inspector

 

http://www.tuluka.org/Download.html

 

screenshots

 

narzędzia all

 

http://antirootkit.com/software/index.htm

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...