64-bitni rootkitovi

1

64-bitni rootkitovi

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12174
  • Gde živiš: Höganäs, SE

Od samog objavljivanja, jedna od najviše promovisanih karakteristika 64-bitnih edicija Windowsa je bila veća bezbednost.

Windows Vista x64 i Windows 7 x64 su došli na "dobar glas" (u pogledu bezbednosti) u prvom redu zahvaljujući svojim dvema mogućnostima:

- Driver Signature verification koji se ogleda u striktnoj proveri digitalnih potpisa svih drivera (softvera/koda koji radi u režimu jezgra operativnog sistema).
Ukoliko driver ne poseduje validan digitalni potpis, učitavanje istoga biva blokirano od strane Windowsa.

- Kernel Patch Protection (tkz. PatchGuard); bezbednosna rutina koja onemogućuje komponentama koje rade u režimu kernela (jezgra) menjanje kritičnih područja kernela (npr. SSDT-a).


UAC (User Account Control) kao prva barijera (jer su za instalaciju drivera neophodne administrativne privilegije), provera potpisa i, na kraju, PatchGuard su za rezultat imali onemogućavanje instalacije/rada rootkitova.

Imali je, nažalost, ključna reč.

Pre par nedelja je primećen Whistler Bootkit sposoban da inficira i x64 Windowse, a pre desetak dana su antivirus kompanije pronašle prve primerke nove varijante TDL3 (TDSS / Alureon) rootkita (već od ranije smatranog najnaprednijim rootkitom) koji poseduje 64-bitni driver.

Da bi zaobišao bezbednosni mehanizam x64 Windowsa, TDL3 rootkit vrši izmenu MBR-a (Master Boot Record) čime dobija mogućnost da presretne startne rutine Windowsa i učita svoj maliciozni driver. Korišćenjem MBR-a kao inicijalne tačke za učitavanje, malware zaobilazi proveru digitalnih potpisa i PatchGuard.


Trenutno se TDL3 distribuira putem pornografskih stranica i korišćenjem exploit kitova, a po informacijama dostupnim do sada, uspešnost antivirus programa u detekciji i/ili uklanjanju malwarea je poražavajuća.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Més que un club
  • Glavni vokal @ Harpun
  • Pridružio: 27 Feb 2009
  • Poruke: 3821
  • Gde živiš: Novi Sad,Klisa

damn it. Da li se zna možda koji AV-ovi su barem uspeli da ga detektuju
i da li bi ovo mogao da postavim na jedan drugi forum? tj link ka ovoj temi



offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12174
  • Gde živiš: Höganäs, SE

Ne znam detalje u vezi detekcije AV-ova, no znam da većina (najboljih) generičkih antirootkit skenera uopšte ne pokazuje tragove malwarea ili su oni vrlo neodređeni.

Ovaj TDL je nov, veoma kompleksan, i verujem da prosečan AV, u ovom trentuku, tu nema šanse.


Tekst može da se postavi na drugim sajtovima uz navođenje izvora.

offline
  • Pridružio: 26 Avg 2010
  • Poruke: 7432
  • Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building

U Kasperskijevoj bazi je poznat pod imenom Rootkit.Win64.TDSS.a. (valjda, na njihovom viruswatch-u piše da je ubačen danas)

offline
  • higuy  Male
  • Legendarni građanin
  • tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 7813
  • Gde živiš: Dubocica

Da li MBRCheck radi na 64-bitnim sistemima.

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12174
  • Gde živiš: Höganäs, SE

Mislim da može da se pokrene; dijagnostika radi, fix ne.

offline
  • higuy  Male
  • Legendarni građanin
  • tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 7813
  • Gde živiš: Dubocica

A MBRFix bi trebalo to da odradi.

http://www.sysint.no/nedlasting/mbrfix.htm

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12174
  • Gde živiš: Höganäs, SE

Trenutno poznati MBR alati (uključujući i ovde pomenute) nisu sposobni da pristupe inficiranom MBR-u, pa time ni da detektuju / uklone malware.

offline
  • Pridružio: 10 Avg 2006
  • Poruke: 1007
  • Gde živiš: Beograd

Na koji način mogu virusi da uđu na računar ne skidanjem ničega, tj otvaranjem stranica?

Bio sam ubeđen da, da bi ušao virus u računar mora da se skine neki materijal i pokrene.

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Glavni moderator foruma Zaštita
  • Pridružio: 24 Jul 2007
  • Poruke: 12174
  • Gde živiš: Höganäs, SE

Do infekcije može doći iskorišćavanjem različitih propusta u Windowsu, browserima i drugim programima. Dovoljno je otvoriti neki web site, pa čak ni to nije neophodno - dovoljno je imati aktivnu internet konekciju, a nemati firewall i ažuran Windows, da bi došlo do infekcije nekim crvom.


Potreban je samo minut da se registrujete - da biste učestvovali u diskusiji:
Izaberite vaše korisničko ime [username] :
Vaša email adresa je [email] : Email adresa mora biti tačna!
Ukucajte željenu šifru [password] :
Ukucajte šifru ponovo [password again] :
Jezik [language] :




Ili se jednostavno uloguj preko Facebook-a:
Ko je trenutno na forumu
 

Ukupno su 491 korisnika na forumu :: 45 registrovanih, 3 sakrivenih i 443 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1383 - dana 19 Okt 2014 22:26

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 4channer, Acid_Burn, alimpije, argus, bozo_pavcic, bulovic, cg.mnef, Chuck Norris, Detective, dollar, ivance95, ivanco1993, jazbar, Jovo93, krkalon, kuduz, LakyTheMacak, Lieutenant, m4rk0, Mercury2, mipko, Mita1984, Mixelotti, nenad81, Nikola Radmanović, Odbrana, ozzy, Predrag Cej, RJ, robertino, SlobaBgd, Springfield, Srdjan Avramov, sremac983, Srki94, suton, Toro, trajkoni018, ujkozavlanje, USSVoyager, vasa.93, versus, Vlada78, Žan Klod vam dam, 223223
Siguran hosting