|
|
|
Популярное за неделю:
Самый продвинутый в мире руткит взламывает защиту 64-битной Windows
Пресловутый руткит, который годами терзал 32-битные версии Windows, теперь добрался и до 64-битных творений корпорации Microsoft.

Умение TDL, также известного как Alureon, инфицировать 64-битные версии Windows 7 – большой успех для создателей руткита, так как Microsoft обеспечил свою операционную систему расширенными мерами безопасности, которые должны были уберечь ее от подобного рода атак. Как сообщает Prevx, руткит научился работать с 64-битными системами примерно в августе этого года.

Согласно исследованию, опубликованному в понедельник GFI Software, последняя версия TDL4 проникает в 64-битную систему путем обхода защищенного режима, который был разработан для того, чтобы драйвера могли установиться только если они были подписаны достоверным источником. Сделать это руткиту удалось путем подключения к главной загрузочной записи на жестком диске и изменения параметров загрузки.

"Параметры загрузки изменяются в памяти из кода, исполняемого инфицированным MBR", - пишет GFI Technical Fellow Чандра Пракаш. "Загрузчик определяет параметр LoadIntegrityCheckPolicy, который определяет уровень достоверности загружаемых программ. Руткит же меняет настройки этого конфига устанавливая низкий уровень проверки достоверности, который в дальнейшем позволяет ему загрузить неподписанный руткит".

Согласно исследованиям Prevx, TDl – самый продвинутый руткит, который когда либо существовал. Его используют для установки и обновления кейлоггеров и других видов вредоносных программ на зараженных машинах. Установленный однажды, он практический не заметен для любой антивирусной защиты. Будучи профессиональным методом вмешательства, руткит использует низкоуровневые команды для того, чтобы отключения дебаггеров и тем самым очень сильно затрудняет свое обнаружение.

Одной из продвинутых мер защит, которую Microsoft добавила в 64-битные версии Windows, был процесс цифровой подписи. Microsoft также добавила PatchGuard, который блокирует возможность драйверов ядра изменять важные части ядра Windows. TDL удалось перехитрить и эту защиту путем изменения главной загрузочной записи таким образом, что она может перехватывать программу загрузки Windows.

      
  

Xakep


Опубликовано: 16:35 - 16.11.2010
Комментарии









Реклама


Календарь
ноябрь 2024
  Пн Вт Ср Чт Пт Сб Вс  
          1 2 3  
  4 5 6 7 8 9 10  
  11 12 13 14 15 16 17  
  18 19 20 21 22 23 24  
  25 26 27 28 29 30    
Голосование
У вас есть блог?
6.6%
Пишу иногда
35.3%
Нет времени на ерунду
14.0%
Активный блогер
19.9%
Что это такое?
11.8%
Слежу за другими
12.5%
Участвую в обсуждениях
Голосовать Всего голосов (136)
© 2007-2015