• Партнер

  • Пресловутый руткит, который годами терзал 32-битные версии Windows, теперь
    добрался и до 64-битных творений корпорации Microsoft.

    Умение TDL, также известного как Alureon, инфицировать 64-битные версии
    Windows 7 – большой успех для создателей руткита, так как Microsoft обеспечил
    свою операционную систему расширенными мерами безопасности, которые должны были
    уберечь ее от подобного рода атак. Как сообщает Prevx, руткит научился работать
    с 64-битными системами примерно в августе этого года.

    Согласно исследованию, опубликованному в понедельник GFI Software, последняя
    версия TDL4 проникает в 64-битную систему путем обхода защищенного режима,
    который был разработан для того, чтобы драйвера могли установиться только если
    они были подписаны достоверным источником. Сделать это руткиту удалось путем
    подключения к главной загрузочной записи на жестком диске и изменения параметров
    загрузки.

    "Параметры загрузки изменяются в памяти из кода, исполняемого инфицированным
    MBR", - пишет GFI Technical Fellow Чандра Пракаш. "Загрузчик определяет параметр
    LoadIntegrityCheckPolicy, который определяет уровень достоверности загружаемых
    программ. Руткит же меняет настройки этого конфига устанавливая низкий уровень
    проверки достоверности, который в дальнейшем позволяет ему загрузить
    неподписанный руткит".

    Согласно исследованиям Prevx, TDl – самый продвинутый руткит, который когда
    либо существовал. Его используют для установки и обновления кейлоггеров и других
    видов вредоносных программ на зараженных машинах. Установленный однажды, он
    практический не заметен для любой антивирусной защиты. Будучи профессиональным
    методом вмешательства, руткит использует низкоуровневые команды для того, чтобы
    отключения дебаггеров и тем самым очень сильно затрудняет свое обнаружение.

    Одной из продвинутых мер защит, которую Microsoft добавила в 64-битные версии
    Windows, был процесс цифровой подписи. Microsoft также добавила PatchGuard,
    который блокирует возможность драйверов ядра изменять важные части ядра Windows.
    TDL удалось перехитрить и эту защиту путем изменения главной загрузочной записи
    таким образом, что она может перехватывать программу
    загрузки Windows.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии