1
Warning: Cannot modify header information - headers already sent by (output started at /vip/mycity.co.yu/www.mycity.co.yu/html/includes/functions.php:2684) in /vip/mycity.co.yu/www.mycity.co.yu/html/includes/page_header.php on line 974

Warning: Cannot modify header information - headers already sent by (output started at /vip/mycity.co.yu/www.mycity.co.yu/html/includes/functions.php:2684) in /vip/mycity.co.yu/www.mycity.co.yu/html/includes/page_header.php on line 980

Warning: Cannot modify header information - headers already sent by (output started at /vip/mycity.co.yu/www.mycity.co.yu/html/includes/functions.php:2684) in /vip/mycity.co.yu/www.mycity.co.yu/html/includes/page_header.php on line 981
64-bitni rootkitovi


64-bitni rootkitovi

1

64-bitni rootkitovi

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12267
  • Gde živiš: Höganäs, SE

Od samog objavljivanja, jedna od najviše promovisanih karakteristika 64-bitnih edicija Windowsa je bila veća bezbednost.

Windows Vista x64 i Windows 7 x64 su došli na "dobar glas" (u pogledu bezbednosti) u prvom redu zahvaljujući svojim dvema mogućnostima:

- Driver Signature verification koji se ogleda u striktnoj proveri digitalnih potpisa svih drivera (softvera/koda koji radi u režimu jezgra operativnog sistema).
Ukoliko driver ne poseduje validan digitalni potpis, učitavanje istoga biva blokirano od strane Windowsa.

- Kernel Patch Protection (tkz. PatchGuard); bezbednosna rutina koja onemogućuje komponentama koje rade u režimu kernela (jezgra) menjanje kritičnih područja kernela (npr. SSDT-a).


UAC (User Account Control) kao prva barijera (jer su za instalaciju drivera neophodne administrativne privilegije), provera potpisa i, na kraju, PatchGuard su za rezultat imali onemogućavanje instalacije/rada rootkitova.

Imali je, nažalost, ključna reč.

Pre par nedelja je primećen Whistler Bootkit sposoban da inficira i x64 Windowse, a pre desetak dana su antivirus kompanije pronašle prve primerke nove varijante TDL3 (TDSS / Alureon) rootkita (već od ranije smatranog najnaprednijim rootkitom) koji poseduje 64-bitni driver.

Da bi zaobišao bezbednosni mehanizam x64 Windowsa, TDL3 rootkit vrši izmenu MBR-a (Master Boot Record) čime dobija mogućnost da presretne startne rutine Windowsa i učita svoj maliciozni driver. Korišćenjem MBR-a kao inicijalne tačke za učitavanje, malware zaobilazi proveru digitalnih potpisa i PatchGuard.


Trenutno se TDL3 distribuira putem pornografskih stranica i korišćenjem exploit kitova, a po informacijama dostupnim do sada, uspešnost antivirus programa u detekciji i/ili uklanjanju malwarea je poražavajuća.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Més que un club
  • Glavni vokal @ Harpun
  • Pridružio: 27 Feb 2009
  • Poruke: 3829
  • Gde živiš: Novi Sad,Klisa

damn it. Da li se zna možda koji AV-ovi su barem uspeli da ga detektuju
i da li bi ovo mogao da postavim na jedan drugi forum? tj link ka ovoj temi



offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12267
  • Gde živiš: Höganäs, SE

Ne znam detalje u vezi detekcije AV-ova, no znam da većina (najboljih) generičkih antirootkit skenera uopšte ne pokazuje tragove malwarea ili su oni vrlo neodređeni.

Ovaj TDL je nov, veoma kompleksan, i verujem da prosečan AV, u ovom trentuku, tu nema šanse.


Tekst može da se postavi na drugim sajtovima uz navođenje izvora.

offline
  • Pridružio: 26 Avg 2010
  • Poruke: 8318
  • Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building

U Kasperskijevoj bazi je poznat pod imenom Rootkit.Win64.TDSS.a. (valjda, na njihovom viruswatch-u piše da je ubačen danas)

offline
  • higuy  Male
  • Legendarni građanin
  • penzionisani tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 8526
  • Gde živiš: Dubocica

Da li MBRCheck radi na 64-bitnim sistemima.

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12267
  • Gde živiš: Höganäs, SE

Mislim da može da se pokrene; dijagnostika radi, fix ne.

offline
  • higuy  Male
  • Legendarni građanin
  • penzionisani tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 8526
  • Gde živiš: Dubocica

A MBRFix bi trebalo to da odradi.

http://www.sysint.no/nedlasting/mbrfix.htm

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12267
  • Gde živiš: Höganäs, SE

Trenutno poznati MBR alati (uključujući i ovde pomenute) nisu sposobni da pristupe inficiranom MBR-u, pa time ni da detektuju / uklone malware.

offline
  • Pridružio: 10 Avg 2006
  • Poruke: 1009
  • Gde živiš: Beograd

Na koji način mogu virusi da uđu na računar ne skidanjem ničega, tj otvaranjem stranica?

Bio sam ubeđen da, da bi ušao virus u računar mora da se skine neki materijal i pokrene.

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12267
  • Gde živiš: Höganäs, SE

Do infekcije može doći iskorišćavanjem različitih propusta u Windowsu, browserima i drugim programima. Dovoljno je otvoriti neki web site, pa čak ni to nije neophodno - dovoljno je imati aktivnu internet konekciju, a nemati firewall i ažuran Windows, da bi došlo do infekcije nekim crvom.

Ko je trenutno na forumu
 

Ukupno su 633 korisnika na forumu :: 62 registrovanih, 14 sakrivenih i 557 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1383 - dana 19 Okt 2014 22:26

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 11neco11, Acid_Burn, awathorn, bbelic, bgmoto, bojank, boyce, Buzdovan2, celik, CheefCoach, comi_pfc, dekao, djboj, Dostanic09, dr.fromberg, Farmaceut2, Filip Marinković, FOX, foxy2, greenmachine, gvozdenavolja, Hussar, Irbis, Joja2, jovann1994, kuduz2, Kule, KUZMAR, Levi2, Marko Marković, Marko882, miki87, Mirage 2000N, Mishale, MonteCarlo, mpman, nikola990, ninareflex, NiNo_8824, pera12345, pilac, Raptor1, raskoljnikov, roach, ruseskij, S-lash, sasash, scimitar19, scout01, shmele2, SlobaBgd, theNedjeljko, Toni, USSVoyager, Viceroy2, vladetije, vnf, vpavlovic14, Wilson2, zixmix, zlaya011, zox-ni
Siguran hosting