Znajdź zawartość

Rozpoczęła się epoka rootkitów atakujących 64-bitowe systemy operacyjne. Tak przynajmniej uważa Marco Giuliani, ekspert ds. bezpieczeństwa z firmy Prevx. Badacze odkryli właśnie rootkita, który omija zabezpieczenia 64-bitowego Windows i jest w stanie zainfekować system. Rootkit zwany Alureon, TDL czy Tidserv to ten sam szkodliwy kod, który wywoływał w lutym "niebieski ekran śmierci" na zainfekowanych komputerach z systemem Windows XP, na którym zainstalowano właśnie poprawki. Wtedy, najprawdopodobniej wskutek błędów twórców szkodliwego kodu, wcześniej zainfekowane komputery po instalacji poprawek doświadczały awarii. Microsoft wycofał poprawki i wydał je później, ale wraz z mechanizmem, który blokował ich instalację w przypadku wykrycia infekcji na komputerze użytkownika. Przestępcy zmodyfikowali jego kod i, jak informują Prevx oraz Symantec, aktywnie wykorzystują szkodliwy kod. Infekcja rozprzestrzenia się zarówno za pomocą witryn pornograficznych jak i specjalnych narzędzi - ostrzega Giuliani. Szkodliwy kod jest bardzo zaawansowany. Omija dwie antyrootkitowe technologie w Windows - Kernel Mode Code Signing oraz Kernel Patch Protection. Rootkit dokonuje tego, jak informuje Giuliani, poprzez nadpisanie głównego sektora rozruchowego dysku twardego, co pozwala na przejęcie uruchamiania procesu uruchamiania dysku podczas startu komputera i załadowanie własnych sterowników. Rootkity przechwytujące MBR są praktycznie niewidoczne dla systemu operacyjnego i programów antywirusowych. Główne komponenty Tidserva są przechowywane w formie zaszyfrowanej w nieużywanych fragmentach na końcu przestrzeni twardego dysku. To czyni je trudniejszym do wykrycia i usunięcia - mówią specjaliści z Symanteka. Eksperci wciąż badają rootkit i zapowiadają ujawnienie kolejnych informacji na jego temat.

Eksperci potwierdzili, że twórcy rootkita, który powodował awarie Windows XP poprawili swój szkodliwy program tak, że system operacyjny pracuje już bez problemów. Sprawa wyszła na jaw przy okazji ostatniego zestawu łatek Microsoftu. Okazało się, że po zainstalowaniu biuletynu MS10-015 na komputerach niektórych użytkowników Windows XP pojawia się tzw. niebieski ekran śmierci (BSOD). Z kolei inne maszyny bez końca się restartowały. Microsoft szybko wycofał biuletyn i rozpoczął śledztwo. Po niedługim czasie w Sieci pojawiła się informacja, że awariom nie jest winna żadna wada w biuletynie, ale rootkit Tidserv (znany też jako TDSS i TDL3), który wcześniej zainfekował niektóre komputery. Specjaliści z Microsoftu stwierdzili, że szkodliwy kod może być przyczyną awarii, ale nie wykluczyli też innych możliwości. Wkrótce jednak niezależni eksperci uznali, że najbardziej prawdopodobnym winnym jest właśnie Tidserv, który źle współpracuje z najnowszymi poprawkami. Teraz specjaliści informują, że zauważyli pewne działania, które wskazują na to, iż cyberprzestępcy aktualizują rootkita tak, by nie wywoływał konfliktu z MS10-015. Leży to w interesie samych przestępców, gdyż komputer, na którym wystąpił BSOD jest dla nich bezużyteczny. Ponadto samo wystąpienie awarii pokazało wielu osobom, że ich komputery zostały zainfekowane, a przecież idea tworzenia rootkitów polega na tym, że pozostają one całkowicie niezauważalne. Pomimo opinii większości niezależnych ekspertów Microsoft nie kończy śledztwa w sprawie awarii i nie uznaje jej przyczyn za wyjaśnione. Koncern sprawdza, czy pojawienie się BSOD-ów nie ma też innych przyczyn. Roel Schouwenberg z firmy Kaspersky i Marc Fossi z Symanteka zdecydowanie jednak wskazują na rootkit i mówią, że gdyby znalazł się on w Windows Viście czy Windows 7 również wywołałby awarię. Przyczyną, dla której błąd występuje tylko w XP jest fakt, że zdecydowana większość komputerów korzysta właśnie z tego systemu - mówi Schouwenberg. Microsoft ponownie udostępni MS10-015 dopiero po zakończeniu własnego śledztwa.