MyCity » Zaštita od zlonamernih programa » Vest: 64-bitni rootkitovi

64-bitni rootkitovi

Napisano na dan: 26.8.2010

Strana:
1
2

64-bitni rootkitovi

Sledeća strana

Pagination

Odgovori

Strana:
1
2

dr_Bora Poslao: 26 Avg 2010 21:22 Idi na vrh
offline dr_Bora Anti Malware Fighter Rank 2 Pridružio: 24 Jul 2007 Poruke: 12280 Gde živiš: Höganäs, SE	3Ovo se svidja korisnicima: goran9888, ThePhilosopher, mcrule Registruj se da bi pohvalio/la poruku! Od samog objavljivanja, jedna od najviše promovisanih karakteristika 64-bitnih edicija Windowsa je bila veća bezbednost. Windows Vista x64 i Windows 7 x64 su došli na "dobar glas" (u pogledu bezbednosti) u prvom redu zahvaljujući svojim dvema mogućnostima: - Driver Signature verification koji se ogleda u striktnoj proveri digitalnih potpisa svih drivera (softvera/koda koji radi u režimu jezgra operativnog sistema). Ukoliko driver ne poseduje validan digitalni potpis, učitavanje istoga biva blokirano od strane Windowsa. - Kernel Patch Protection (tkz. PatchGuard); bezbednosna rutina koja onemogućuje komponentama koje rade u režimu kernela (jezgra) menjanje kritičnih područja kernela (npr. SSDT-a). UAC (User Account Control) kao prva barijera (jer su za instalaciju drivera neophodne administrativne privilegije), provera potpisa i, na kraju, PatchGuard su za rezultat imali onemogućavanje instalacije/rada rootkitova. Imali je, nažalost, ključna reč. Pre par nedelja je primećen Whistler Bootkit sposoban da inficira i x64 Windowse, a pre desetak dana su antivirus kompanije pronašle prve primerke nove varijante TDL3 (TDSS / Alureon) rootkita (već od ranije smatranog najnaprednijim rootkitom) koji poseduje 64-bitni driver. Da bi zaobišao bezbednosni mehanizam x64 Windowsa, TDL3 rootkit vrši izmenu MBR-a (Master Boot Record) čime dobija mogućnost da presretne startne rutine Windowsa i učita svoj maliciozni driver. Korišćenjem MBR-a kao inicijalne tačke za učitavanje, malware zaobilazi proveru digitalnih potpisa i PatchGuard. Trenutno se TDL3 distribuira putem pornografskih stranica i korišćenjem exploit kitova, a po informacijama dostupnim do sada, uspešnost antivirus programa u detekciji i/ili uklanjanju malwarea je poražavajuća.

Profil
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.

NIx Car Poslao: 26 Avg 2010 21:39 Idi na vrh
offline NIx Car Legendarni građanin Més que un club Glavni vokal @ Harpun Pridružio: 27 Feb 2009 Poruke: 3898 Gde živiš: Novi Sad,Klisa	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! damn it. Da li se zna možda koji AV-ovi su barem uspeli da ga detektuju i da li bi ovo mogao da postavim na jedan drugi forum? tj link ka ovoj temi

Profil

dr_Bora Poslao: 26 Avg 2010 21:49 Idi na vrh
offline dr_Bora Anti Malware Fighter Rank 2 Pridružio: 24 Jul 2007 Poruke: 12280 Gde živiš: Höganäs, SE	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Ne znam detalje u vezi detekcije AV-ova, no znam da većina (najboljih) generičkih antirootkit skenera uopšte ne pokazuje tragove malwarea ili su oni vrlo neodređeni. Ovaj TDL je nov, veoma kompleksan, i verujem da prosečan AV, u ovom trentuku, tu nema šanse. Tekst može da se postavi na drugim sajtovima uz navođenje izvora.

Profil

Sass Drake Poslao: 26 Avg 2010 22:11 Idi na vrh
offline Sass Drake Anti Malware Fighter Rank 2 Pridružio: 26 Avg 2010 Poruke: 10622 Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! U Kasperskijevoj bazi je poznat pod imenom Rootkit.Win64.TDSS.a. (valjda, na njihovom viruswatch-u piše da je ubačen danas)

Profil

higuy Poslao: 26 Avg 2010 22:29 Idi na vrh
offline higuy Legendarni građanin penzionisani tabijatlija crni hronicar Pridružio: 21 Apr 2010 Poruke: 8565 Gde živiš: Dubocica	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Da li MBRCheck radi na 64-bitnim sistemima.

Profil

dr_Bora Poslao: 26 Avg 2010 23:42 Idi na vrh
offline dr_Bora Anti Malware Fighter Rank 2 Pridružio: 24 Jul 2007 Poruke: 12280 Gde živiš: Höganäs, SE	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Mislim da može da se pokrene; dijagnostika radi, fix ne.

Profil

higuy Poslao: 27 Avg 2010 09:45 Idi na vrh
offline higuy Legendarni građanin penzionisani tabijatlija crni hronicar Pridružio: 21 Apr 2010 Poruke: 8565 Gde živiš: Dubocica	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! A MBRFix bi trebalo to da odradi. http://www.sysint.no/nedlasting/mbrfix.htm

Profil

dr_Bora Poslao: 27 Avg 2010 14:12 Idi na vrh
offline dr_Bora Anti Malware Fighter Rank 2 Pridružio: 24 Jul 2007 Poruke: 12280 Gde živiš: Höganäs, SE	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Trenutno poznati MBR alati (uključujući i ovde pomenute) nisu sposobni da pristupe inficiranom MBR-u, pa time ni da detektuju / uklone malware.

Profil

igorpan Poslao: 28 Avg 2010 15:55 Idi na vrh
offline igorpan Super građanin Pridružio: 10 Avg 2006 Poruke: 1009 Gde živiš: Beograd	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Na koji način mogu virusi da uđu na računar ne skidanjem ničega, tj otvaranjem stranica? Bio sam ubeđen da, da bi ušao virus u računar mora da se skine neki materijal i pokrene.

Profil

dr_Bora Poslao: 28 Avg 2010 16:26 Idi na vrh
offline dr_Bora Anti Malware Fighter Rank 2 Pridružio: 24 Jul 2007 Poruke: 12280 Gde živiš: Höganäs, SE	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Do infekcije može doći iskorišćavanjem različitih propusta u Windowsu, browserima i drugim programima. Dovoljno je otvoriti neki web site, pa čak ni to nije neophodno - dovoljno je imati aktivnu internet konekciju, a nemati firewall i ažuran Windows, da bi došlo do infekcije nekim crvom.

Profil

MyCity » Zaštita od zlonamernih programa » Vest: 64-bitni rootkitovi

Ko je trenutno na forumu

Ukupno su 1147 korisnika na forumu :: 42 registrovanih, 6 sakrivenih i 1099 gosta :: [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:: Korisnici trenutno na forumu: 8u47, 9k38, A.R.Chafee.Jr., airsuba, AK - 230, Andrija357, Apok, babaroga, bojanM84, Buzdovan, darios, Denaya, Dimitrise93, djboj, dragoljub11987, flash12, hyla, ikan, Istman, Karla, kikisp, kjkszpj, Krvava Devetka, ksyyaj, kunktator, kybonacci, Marko Marković, mercedesamg, Mercury, milenko crazy north, Milometer, nemkea71, novator, procesor, robertino, Sale.S, Srle993, Stoilkovic, theNedjeljko, Tvrtko I, virked, W123

Svaki korisnik ovog sajta je odgovoran za sadržaj svoje poruke koju objavi na sajtu. Sajt se odriče svake odgovornosti za sadržaj tih poruka.
Postavljanjem vaše poruke ili vašeg autorskog dela na ovaj sajt, saglasni ste da ovaj sajt postaje distributer vašeg dela, i odričete se mogućnosti njegovog povlačenja ili brisanja, bez saglasnosti uprave sajta.
Distribucija sadržaja sa ovog sajta je dozvoljena samo u nekomercijalne svrhe, uz obaveznu napomenu da je sadržaj preuzet sa ovog sajta, i uz obavezno navođenje adrese MyCity sajta. Za sve ostale vidove distribucije obavezni ste da prethodno zatražite odobrenje od vlasnika MyCity sajta.
MyCity pokrenuo, administrira i razvija Predrag Damnjanović, a o uređenju sajta se brine MyCity Tim.
Ukoliko želite da nas kontaktirate kliknite ovde.
Naši sajtovi:
Vesti, Vojni forum, Zaštita od virusa, TekstPesme.rs

This content is licensed under a Creative Commons License.
Based on phpBB 2, translated by Simke, designed by