64-bitni rootkitovi

1

64-bitni rootkitovi

Idi na vrh
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12133
  • Gde živiš: Höganäs, SE

Od samog objavljivanja, jedna od najviše promovisanih karakteristika 64-bitnih edicija Windowsa je bila veća bezbednost.

Windows Vista x64 i Windows 7 x64 su došli na "dobar glas" (u pogledu bezbednosti) u prvom redu zahvaljujući svojim dvema mogućnostima:

  • - Driver Signature verification koji se ogleda u striktnoj proveri digitalnih potpisa svih drivera (softvera/koda koji radi u režimu jezgra operativnog sistema).
    Ukoliko driver ne poseduje validan digitalni potpis, učitavanje istoga biva blokirano od strane Windowsa.

  • - Kernel Patch Protection (tkz. PatchGuard); bezbednosna rutina koja onemogućuje komponentama koje rade u režimu kernela (jezgra) menjanje kritičnih područja kernela (npr. SSDT-a).


UAC (User Account Control) kao prva barijera (jer su za instalaciju drivera neophodne administrativne privilegije), provera potpisa i, na kraju, PatchGuard su za rezultat imali onemogućavanje instalacije/rada rootkitova.

Imali je, nažalost, ključna reč.

Pre par nedelja je primećen Whistler Bootkit sposoban da inficira i x64 Windowse, a pre desetak dana su antivirus kompanije pronašle prve primerke nove varijante TDL3 (TDSS / Alureon) rootkita (već od ranije smatranog najnaprednijim rootkitom) koji poseduje 64-bitni driver.

Da bi zaobišao bezbednosni mehanizam x64 Windowsa, TDL3 rootkit vrši izmenu MBR-a (Master Boot Record) čime dobija mogućnost da presretne startne rutine Windowsa i učita svoj maliciozni driver. Korišćenjem MBR-a kao inicijalne tačke za učitavanje, malware zaobilazi proveru digitalnih potpisa i PatchGuard.


Trenutno se TDL3 distribuira putem pornografskih stranica i korišćenjem exploit kitova, a po informacijama dostupnim do sada, uspešnost antivirus programa u detekciji i/ili uklanjanju malwarea je poražavajuća.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
Idi na vrh
offline
  • Més que un club
  • Glavni vokal @ Harpun
  • Pridružio: 27 Feb 2009
  • Poruke: 3810
  • Gde živiš: Novi Sad,Klisa

damn it. Da li se zna možda koji AV-ovi su barem uspeli da ga detektuju
i da li bi ovo mogao da postavim na jedan drugi forum? tj link ka ovoj temi



Idi na vrh
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12133
  • Gde živiš: Höganäs, SE

Ne znam detalje u vezi detekcije AV-ova, no znam da većina (najboljih) generičkih antirootkit skenera uopšte ne pokazuje tragove malwarea ili su oni vrlo neodređeni.

Ovaj TDL je nov, veoma kompleksan, i verujem da prosečan AV, u ovom trentuku, tu nema šanse.


Tekst može da se postavi na drugim sajtovima uz navođenje izvora.

Idi na vrh
offline
  • Pridružio: 26 Avg 2010
  • Poruke: 6866
  • Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building

U Kasperskijevoj bazi je poznat pod imenom Rootkit.Win64.TDSS.a. (valjda, na njihovom viruswatch-u piše da je ubačen danas)

Idi na vrh
offline
  • higuy  Male
  • Anti Malware Fighter
    Rank 1
  • tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 7068
  • Gde živiš: Dubocica

Da li MBRCheck radi na 64-bitnim sistemima.

Idi na vrh
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12133
  • Gde živiš: Höganäs, SE

Mislim da može da se pokrene; dijagnostika radi, fix ne.

Idi na vrh
offline
  • higuy  Male
  • Anti Malware Fighter
    Rank 1
  • tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 7068
  • Gde živiš: Dubocica

A MBRFix bi trebalo to da odradi.

http://www.sysint.no/nedlasting/mbrfix.htm

Idi na vrh
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12133
  • Gde živiš: Höganäs, SE

Trenutno poznati MBR alati (uključujući i ovde pomenute) nisu sposobni da pristupe inficiranom MBR-u, pa time ni da detektuju / uklone malware.

Idi na vrh
offline
  • Pridružio: 10 Avg 2006
  • Poruke: 1007
  • Gde živiš: Beograd

Na koji način mogu virusi da uđu na računar ne skidanjem ničega, tj otvaranjem stranica?

Bio sam ubeđen da, da bi ušao virus u računar mora da se skine neki materijal i pokrene.

Idi na vrh
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12133
  • Gde živiš: Höganäs, SE

Do infekcije može doći iskorišćavanjem različitih propusta u Windowsu, browserima i drugim programima. Dovoljno je otvoriti neki web site, pa čak ni to nije neophodno - dovoljno je imati aktivnu internet konekciju, a nemati firewall i ažuran Windows, da bi došlo do infekcije nekim crvom.


Potreban je samo minut da se registrujete - da biste učestvovali u diskusiji:
Izaberite vaše korisničko ime [username] :
Vaša email adresa je [email] : Email adresa mora biti tačna!
Ukucajte željenu šifru [password] :
Ukucajte šifru ponovo [password again] :
Jezik [language] :




Ili se jednostavno uloguj preko Facebook-a:
Ko je trenutno na forumu
 

Ukupno su 164 korisnika na forumu :: 10 registrovanih, 1 sakriven i 153 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1311 - dana 15 Nov 2012 21:40

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: BlackPhantom, Chuck Norris, darko-markovic, drimer, Limeni91, magna86, ninoslav1011, ruma, Srki94, Žan Klod vam dam
Siguran hosting