Rootkit atakujący platformy 64-bit

deFco247 · 28 Sierpnia 2010

Post wcześniej znajdował się w Software, ale za sprawą siły wyższej wylądował tutaj...

Rozpoczęła się epoka rootkitów atakujących 64-bitowe systemy operacyjne. Tak przynajmniej uważa Marco Giuliani, ekspert ds. bezpieczeństwa z firmy Prevx. Badacze odkryli właśnie rootkita, który omija zabezpieczenia 64-bitowego Windows i jest w stanie zainfekować system.

Rootkit zwany Alureon, TDL czy Tidserv to ten sam szkodliwy kod, który wywoływał w lutym "niebieski ekran śmierci" na zainfekowanych komputerach z systemem Windows XP, na którym zainstalowano właśnie poprawki. Wtedy, najprawdopodobniej wskutek błędów twórców szkodliwego kodu, wcześniej zainfekowane komputery po instalacji poprawek doświadczały awarii. Microsoft wycofał poprawki i wydał je później, ale wraz z mechanizmem, który blokował ich instalację w przypadku wykrycia infekcji na komputerze użytkownika.

Przestępcy zmodyfikowali jego kod i, jak informują Prevx oraz Symantec, aktywnie wykorzystują szkodliwy kod.

Infekcja rozprzestrzenia się zarówno za pomocą witryn pornograficznych jak i specjalnych narzędzi - ostrzega Giuliani.

Szkodliwy kod jest bardzo zaawansowany. Omija dwie antyrootkitowe technologie w Windows - Kernel Mode Code Signing oraz Kernel Patch Protection. Rootkit dokonuje tego, jak informuje Giuliani, poprzez nadpisanie głównego sektora rozruchowego dysku twardego, co pozwala na przejęcie uruchamiania procesu uruchamiania dysku podczas startu komputera i załadowanie własnych sterowników. Rootkity przechwytujące MBR są praktycznie niewidoczne dla systemu operacyjnego i programów antywirusowych.

Główne komponenty Tidserva są przechowywane w formie zaszyfrowanej w nieużywanych fragmentach na końcu przestrzeni twardego dysku. To czyni je trudniejszym do wykrycia i usunięcia - mówią specjaliści z Symanteka.

Eksperci wciąż badają rootkit i zapowiadają ujawnienie kolejnych informacji na jego temat.

http://kopalniawiedzy.pl/rootkit-64-bitowy-Tidserv-TDL-Alureon-Windows-11206.html

Oryginał artykułu (in English):

http://www.prevx.com/blog/154/TDL-rootkit-x-goes-in-the-wild.html

Nadeszła pora na stworzenie narzędzi anty-rootkit dla 64-bitowych Windows. W tej chwili teoretycznie tego rootkita raczej nie można usunąć spod działającego systemu.

Eru · 28 Sierpnia 2010

Eee tam można się było tego spodziewać Zresztą Windows 8 ma być systemem 128 bitowym to znowu będzie przez jakiś czas bezpieczny

picasso · 29 Sierpnia 2010

Dorzucę jeszcze uzupełnienie PrevX, czyli szczegółową analizę tego wariantu: x64 TDL3 rootkit - follow up oraz artykuł Alureon Evolves to 64 Bit.

Póki co, mamy możliwości bardziej "statyczne"... W arsenale MBRCheck, który chodzi na platformach x64, a ewentualne leczenie (nadpis MBR) wygląda na wykonalne z poziomu płyty startowej WinRE w wersji x64. Coby sobie ułatwić ewentualną podmianę zarażonych plików, z poziomu WinRE można uruchomić przez linię komend menedżer plików wariantu portable w wersji natywnie 64-bitowej taki jak: Explorer++.

Być może także uaktualnią Kaspersky TDSSKiller o ten wariant, sama aplikacja ma już oznaczoną kompatybilność z x64.

EDIT: Wygląda na to, że TDSSKiller to wykrywa i potrafi usuwać (pod nazwą kodową TDL4).

Sevard · 31 Sierpnia 2010

Tak czy owak wygląda na to, że Windowsy x64 już nie są bezpieczne, jeśli chodzi o rootkity, choć może MS jeszcze jakoś to sensownie załata. Nadzieję można mieć, jakby nie patrzeć, to zabezpieczenia które wprowadzili nie zostały zbyt szybko złamane. Jeśli chodzi o walkę, to zawsze pozostaje działanie z zewnątrz, czy to przez WinRE, czy np. antywirusy LiveCD i UBCD. Antywirusy działające z zewnątrz mają większą szansę na namierzenie i usunięcie szkodnika, a UBCD ma narzędzia, dzięki którym można wyczyścić rejestr (Offline NT Password & Registry Editor) oraz przywrócić właściwe pliki z kopii zapasowej. Pewnym problemem jest jednak obsługa Offline NT Password & Registry Editor, która dla niedoświadczonych użytkowników może się wydać przerażająca.