Пресловутый руткит, который годами терзал 32-битные версии Windows, теперь
добрался и до 64-битных творений корпорации Microsoft.

Умение TDL, также известного как Alureon, инфицировать 64-битные версии
Windows 7 – большой успех для создателей руткита, так как Microsoft обеспечил
свою операционную систему расширенными мерами безопасности, которые должны были
уберечь ее от подобного рода атак. Как сообщает Prevx, руткит научился работать
с 64-битными системами примерно в августе этого года.

Согласно исследованию, опубликованному в понедельник GFI Software, последняя
версия TDL4 проникает в 64-битную систему путем обхода защищенного режима,
который был разработан для того, чтобы драйвера могли установиться только если
они были подписаны достоверным источником. Сделать это руткиту удалось путем
подключения к главной загрузочной записи на жестком диске и изменения параметров
загрузки.

"Параметры загрузки изменяются в памяти из кода, исполняемого инфицированным
MBR", — пишет GFI Technical Fellow Чандра Пракаш. "Загрузчик определяет параметр
LoadIntegrityCheckPolicy, который определяет уровень достоверности загружаемых
программ. Руткит же меняет настройки этого конфига устанавливая низкий уровень
проверки достоверности, который в дальнейшем позволяет ему загрузить
неподписанный руткит".

Согласно исследованиям Prevx, TDl – самый продвинутый руткит, который когда
либо существовал. Его используют для установки и обновления кейлоггеров и других
видов вредоносных программ на зараженных машинах. Установленный однажды, он
практический не заметен для любой антивирусной защиты. Будучи профессиональным
методом вмешательства, руткит использует низкоуровневые команды для того, чтобы
отключения дебаггеров и тем самым очень сильно затрудняет свое обнаружение.

Одной из продвинутых мер защит, которую Microsoft добавила в 64-битные версии
Windows, был процесс цифровой подписи. Microsoft также добавила PatchGuard,
который блокирует возможность драйверов ядра изменять важные части ядра Windows.
TDL удалось перехитрить и эту защиту путем изменения главной загрузочной записи
таким образом, что она может перехватывать программу
загрузки Windows.



Оставить мнение