Napravi pauzu
banner
banner
banner
banner
banner
banner
banner
banner
banner

64-bitni rootkitovi

1

64-bitni rootkitovi

Idi na vrh
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12081
  • Gde živiš: Höganäs, SE

Od samog objavljivanja, jedna od najviše promovisanih karakteristika 64-bitnih edicija Windowsa je bila veća bezbednost.

Windows Vista x64 i Windows 7 x64 su došli na "dobar glas" (u pogledu bezbednosti) u prvom redu zahvaljujući svojim dvema mogućnostima:

  • - Driver Signature verification koji se ogleda u striktnoj proveri digitalnih potpisa svih drivera (softvera/koda koji radi u režimu jezgra operativnog sistema).
    Ukoliko driver ne poseduje validan digitalni potpis, učitavanje istoga biva blokirano od strane Windowsa.

  • - Kernel Patch Protection (tkz. PatchGuard); bezbednosna rutina koja onemogućuje komponentama koje rade u režimu kernela (jezgra) menjanje kritičnih područja kernela (npr. SSDT-a).


UAC (User Account Control) kao prva barijera (jer su za instalaciju drivera neophodne administrativne privilegije), provera potpisa i, na kraju, PatchGuard su za rezultat imali onemogućavanje instalacije/rada rootkitova.

Imali je, nažalost, ključna reč.

Pre par nedelja je primećen Whistler Bootkit sposoban da inficira i x64 Windowse, a pre desetak dana su antivirus kompanije pronašle prve primerke nove varijante TDL3 (TDSS / Alureon) rootkita (već od ranije smatranog najnaprednijim rootkitom) koji poseduje 64-bitni driver.

Da bi zaobišao bezbednosni mehanizam x64 Windowsa, TDL3 rootkit vrši izmenu MBR-a (Master Boot Record) čime dobija mogućnost da presretne startne rutine Windowsa i učita svoj maliciozni driver. Korišćenjem MBR-a kao inicijalne tačke za učitavanje, malware zaobilazi proveru digitalnih potpisa i PatchGuard.


Trenutno se TDL3 distribuira putem pornografskih stranica i korišćenjem exploit kitova, a po informacijama dostupnim do sada, uspešnost antivirus programa u detekciji i/ili uklanjanju malwarea je poražavajuća.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
Idi na vrh
offline
  • Més que un club
  • Glavni vokal @ Harpun
  • Pridružio: 27 Feb 2009
  • Poruke: 3778
  • Gde živiš: Novi Sad,Klisa

damn it. Da li se zna možda koji AV-ovi su barem uspeli da ga detektuju
i da li bi ovo mogao da postavim na jedan drugi forum? tj link ka ovoj temi



Idi na vrh
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12081
  • Gde živiš: Höganäs, SE

Ne znam detalje u vezi detekcije AV-ova, no znam da većina (najboljih) generičkih antirootkit skenera uopšte ne pokazuje tragove malwarea ili su oni vrlo neodređeni.

Ovaj TDL je nov, veoma kompleksan, i verujem da prosečan AV, u ovom trentuku, tu nema šanse.


Tekst može da se postavi na drugim sajtovima uz navođenje izvora.

Idi na vrh
offline
  • Pridružio: 26 Avg 2010
  • Poruke: 6552
  • Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building

U Kasperskijevoj bazi je poznat pod imenom Rootkit.Win64.TDSS.a. (valjda, na njihovom viruswatch-u piše da je ubačen danas)

Idi na vrh
offline
  • higuy  Male
  • Anti Malware Fighter
    Rank 1
  • tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 6642
  • Gde živiš: Dubocica

Da li MBRCheck radi na 64-bitnim sistemima.

Idi na vrh
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12081
  • Gde živiš: Höganäs, SE

Mislim da može da se pokrene; dijagnostika radi, fix ne.

Idi na vrh
offline
  • higuy  Male
  • Anti Malware Fighter
    Rank 1
  • tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 6642
  • Gde živiš: Dubocica

A MBRFix bi trebalo to da odradi.

http://www.sysint.no/nedlasting/mbrfix.htm

Idi na vrh
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12081
  • Gde živiš: Höganäs, SE

Trenutno poznati MBR alati (uključujući i ovde pomenute) nisu sposobni da pristupe inficiranom MBR-u, pa time ni da detektuju / uklone malware.

Idi na vrh
offline
  • Pridružio: 10 Avg 2006
  • Poruke: 1007
  • Gde živiš: Beograd

Na koji način mogu virusi da uđu na računar ne skidanjem ničega, tj otvaranjem stranica?

Bio sam ubeđen da, da bi ušao virus u računar mora da se skine neki materijal i pokrene.

Idi na vrh
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12081
  • Gde živiš: Höganäs, SE

Do infekcije može doći iskorišćavanjem različitih propusta u Windowsu, browserima i drugim programima. Dovoljno je otvoriti neki web site, pa čak ni to nije neophodno - dovoljno je imati aktivnu internet konekciju, a nemati firewall i ažuran Windows, da bi došlo do infekcije nekim crvom.


Potreban je samo minut da se registrujete - da biste učestvovali u diskusiji:
Izaberite vaše korisničko ime [username] :
Vaša email adresa je [email] : Email adresa mora biti tačna!
Ukucajte željenu šifru [password] :
Ukucajte šifru ponovo [password again] :
Jezik [language] :




Ili se jednostavno uloguj preko Facebook-a:
Ko je trenutno na forumu
 

Ukupno su 581 korisnika na forumu :: 80 registrovanih, 9 sakrivenih i 492 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1311 - dana 15 Nov 2012 21:40

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A kandic, Acid_Burn, Aco, andreastoelz, aramis s, babcia131, banebeograd, Batinas, black venom, Boris90, BRATORIII, cedaveljas, celik, cezar 35, Chuck Norris, cika miki2, Danko75, Demostant, E.L.I.T.E., Eridan, eulereix, galijot, GJ Flanker, Gotffrid Rozenkrojc, goxsys, helen1, husky, i.senica, ikan, ivica976, kalens2, killerstorm2, king maci, Loes, Logic005, majorgaspar, MareBG, MarkoFTE, MB120mm, MegaVLAdaR, miki sniper, mikiopacity, mikrimaus, mr.uC, Nebojsha Trajkovich, nedeljkovici, nelson, nenad812, Nikola Vucetic, panzerwaffe, Phalcon, plavigrom, purke62, Rade Jakovljevic, Radomir Đerić, ray ban11, rovac, ruger357, ruma, safra, sasa76, Sceko, scout01, shadower78, shmele, SlobaBgd, spartanacSRB, Springfield, sremac983, Srki94, Sveto, Toni, Uzelac2106, vanesaa, Vlada78, Vojkan Petrovic, WS2, zlatkoa987, zox-ni, Žan Klod vam dam
Siguran hosting