Search the Community
Showing results for tags 'rootkit'.
Found 13 results
-
Eksperci ostrzegają, że rootkit TDL4, jeden z najbardziej zaawansowanych złośliwych kodów zagrażających internautom, został jeszcze bardziej udoskonalony. TDL, znany też jako TDSS, to rodzina wyjątkowo niebezpiecznych, bardzo zaawansowanych technicznie rootkitów. W lipcu bieżącego roku firma Kaspersky stwierdziła, że jest to najbardziej niebezpieczny kod w internecie. Tym, co odróżnia go od innych rootkitów są m.in. zdolność do infekowania 64-bitowej wersji Windows, wykorzystywanie publicznej sieci P2P Kad do łączności z centrum kontroli czy też wykorzystywanie głównego sektora rozruchowego (MBR) do ukrywania się przed oprogramowaniem antywirusowym. Ocenia się, że botnet stworzony przez tego rootkita liczy sobie 4,5 miliona maszyn. Teraz badacze z ESET poinformowali, że twórcy rootkita przepisali go na nowo i zmienili sposób, w jaki infekuje on komputery. Zamiast ukrywać się w MBR nowa wersja TDL4 tworzy ukrytą partycję na końcu dysku twardego i ustawia ją jako aktywną. Dzięki temu szkodliwy kod jest uruchamiany przed startem systemu operacyjnego i jest chroniony przed oprogramowaniem zapobiegającym nieautoryzowanym modyfikacjom w MBR. Twórcy TDL4 opracowali też zaawansowany system plików dla partycji utworzonej przez rootkita. Szkodliwy kod może teraz sprawdzać spójność przechowywanych tam danych. Złośliwy kod jest teraz w stanie wykryć zmiany dokonane w plikach przechowywanych na ukrytej partycji sprawdzając sumę kontrolną CRC32 i porównując ją z sumą przechowywaną w nagłówku pliku. Jeśli zostanie wykryte uszkodzenie pliku, jest on usuwany z systemu - informuje ESET. Takie działanie ma zabezpieczyć rootkita przed skierowanymi przeciwko niemu działaniami. W kwietniu bieżącego roku Microsoft opublikował poprawkę, która tak modyfikowała system, by wykorzystywana przez TDL4 ścieżka infekcji została zakłócona. Dwa tygodnie później przestępcy wypuścili poprawkę do rootkita, dzięki której złośliwy kod obchodził poprawkę Microsoftu. Determinacja cyberprzestępców oraz wysoki stopień zaawansowania szkodliwego kodu wskazują, że jest on dziełem profesjonalistów, którzy mają zamiar na nim zarabiać.
-
Producent oprogramowania antywirusowego Avast ostrzega, że komputery z systemem Windows XP stały się „rezerwatem" dla szkodliwego oprogramowania. Zdaniem czeskiej firmy liczba maszyn z Windows XP zainfekowanych rootkitami jest nieproporcjonalnie duża w stosunku do udziału systemu w rynku. Avast Software przeanalizowała dane z 600 000 pecetów z systemem Windows. Obecnie do Windows XP należy około 58% rynku systemów firmy Microsoft. Jednocześnie maszyny z Windows XP stanowią aż 74% komputerów z Windows zainfekowanych rootkitami. Znacznie bezpieczniejszy pod tym względem jest system Windows 7. Jego udziały w rynku komputerów z systemem Microsoftu wynoszą 31%, ale udziały wśród komputerów zarażonych rootkitami to jedynie 12%. Rootkity stały się w przeciągu ostatnich lat codziennością w świecie IT. Stanowią one bardzo ważną część najbardziej zaawansowanych ataków. Szczególnie popularne są wśród twórców botnetów, gdyż pozwalają ukryć przed użytkownikiem fakt, że ich komputer został zarażony innym szkodliwym kodem. Zdaniem Avasta przyczynami tak dużej dysproporcji w infekcjach pomiędzy Windows XP a Windows 7 są z jednej strony olbrzymia liczba pirackich kopii tego pierwszego oraz lepsze mechanizmy zabezpieczające ten drugi system. Z danych Avast Software wynika, że około 33% użytkowników Windows XP korzysta z wersji z SP2 lub wcześniejszych. A to oznacza, że nie instalują oni łat udostępnianych przez Microsoft. Koncern z Redmond zakończył wsparcie dla Windows XP SP2. Obecnie łaty mogą pobierać użytkownicy Windows XP SP3. Jednak co trzeci posiadacz Widnows XP nie zainstalował SP3 gdyż posiada piracką kopię systemu i obawia się instalowania Service Packa 3. Specjaliści zalecają użytkownikom Windows XP zainstalowanie SP3 lub przejście na system Windows 7, najlepiej jego 64-bitową wersję.
- 4 replies
-
- szkodliwy kod
- rootkit
-
(and 2 more)
Tagged with:
-
Rozpoczęła się epoka rootkitów atakujących 64-bitowe systemy operacyjne. Tak przynajmniej uważa Marco Giuliani, ekspert ds. bezpieczeństwa z firmy Prevx. Badacze odkryli właśnie rootkita, który omija zabezpieczenia 64-bitowego Windows i jest w stanie zainfekować system. Rootkit zwany Alureon, TDL czy Tidserv to ten sam szkodliwy kod, który wywoływał w lutym "niebieski ekran śmierci" na zainfekowanych komputerach z systemem Windows XP, na którym zainstalowano właśnie poprawki. Wtedy, najprawdopodobniej wskutek błędów twórców szkodliwego kodu, wcześniej zainfekowane komputery po instalacji poprawek doświadczały awarii. Microsoft wycofał poprawki i wydał je później, ale wraz z mechanizmem, który blokował ich instalację w przypadku wykrycia infekcji na komputerze użytkownika. Przestępcy zmodyfikowali jego kod i, jak informują Prevx oraz Symantec, aktywnie wykorzystują szkodliwy kod. Infekcja rozprzestrzenia się zarówno za pomocą witryn pornograficznych jak i specjalnych narzędzi - ostrzega Giuliani. Szkodliwy kod jest bardzo zaawansowany. Omija dwie antyrootkitowe technologie w Windows - Kernel Mode Code Signing oraz Kernel Patch Protection. Rootkit dokonuje tego, jak informuje Giuliani, poprzez nadpisanie głównego sektora rozruchowego dysku twardego, co pozwala na przejęcie uruchamiania procesu uruchamiania dysku podczas startu komputera i załadowanie własnych sterowników. Rootkity przechwytujące MBR są praktycznie niewidoczne dla systemu operacyjnego i programów antywirusowych. Główne komponenty Tidserva są przechowywane w formie zaszyfrowanej w nieużywanych fragmentach na końcu przestrzeni twardego dysku. To czyni je trudniejszym do wykrycia i usunięcia - mówią specjaliści z Symanteka. Eksperci wciąż badają rootkit i zapowiadają ujawnienie kolejnych informacji na jego temat.
-
Nicholas Percoco i Christian Papathanasiou zapowiadają prezentację rootkita na telefon z systemem Android. Będzie ona miała miejsce podczas lipcowej konferencji Defcon. Eksperci pokażą rootkita zdolnego do kradzieży treści SMS-ów, wykonywania połączeń oraz informowaniu o położeniu urządzenia. W tej chwili nie wiadomo, w jaki sposób udało się obejść zabezpieczenia Androida. Autorzy rootkita zapewniają jednak, że jest to możliwe za pomocą podsuniętego właścicielowi telefonu odnośnika lub wraz z instalowaną przez niego aplikacją. Obaj specjaliści mówią, że wykorzystali Androida, gdyż korzysta on z jądra Linuksa. Android jest idealną platformą do dalszych badań ze względu na używanie jądra Linuksa oraz na to, że zgromadzono sporą wiedzę na temat linuksowych rootkitów jądra - stwierdzili. Ich rootkit działa jako moduł jądra, dając atakującemu pełny dostęp do urządzenia. To nie pierwszy tego typu szkodliwy kod. W lutym badacze z Rutgers University pokazali roorkita dla linuksowego smartfonu Neo Freerunner. Zauważyli przy tym, że wykrywanie tego typu szkodliwego kodu będzie dla smartfonów poważnym wyzwaniem ze względu na ograniczoną moc obliczeniową takich urządzeń. Istniejące mechanizmy wykrywania rootkitów opracowane zostały na potrzeby desktopów. Wykorzystują one, wymagające dużych mocy obliczeniowych, periodyczne skanowanie migawek jądra. Takie techniki zużyłyby znaczne ilości energii, gdyby zostały zastosowane w smartfonach - napisali naukowcy z Rutgers.
-
- Christian Papathanasiou
- Nicholas Percoco
-
(and 3 more)
Tagged with:
-
Przed rokiem pracodawca skutecznie uniemożliwił Barnaby Jackowi wygłoszenie wykładu dotyczącego luki w zabezpieczeniach bankomatów. Tym razem, podczas konferencji Black Hat, która odbędzie się w Los Angeles w dniach 28-29 lipca, ekspert opowie o sposobach ataku na bankomaty i zaprezentuje wieloplatformowego rootkita ułatwiającego atak. Jack zaprezentuje kilka rodzajów ataku, w tym atak zdalny za pomocą sieci. Zwykle bankomaty atakowane są poprzez zainstalowanie w nich fałszywych czytników kart, które kradną dane z karty, oraz kamer lub fałszywych klawiatur, umożliwiających poznanie numeru PIN. Barnaby Jack skupił się jednak na szukaniu dziur w oprogramowaniu bankomatów. Znalazł je już przed rokiem, jednak jego pracodawca - firma Juniper - nie pozwoliła mu na udział w konferencji. Specjalista wykorzystał ten rok do dalszych badań, a przed miesiącem zmienił pracodawcę zostając dyrektorem ds. badań bezpieczeństwa firmy IOActive. Jack zapowiada, że o ile w ubiegłym roku znał sposób na zaatakowanie jednego modelu bankomatu, teraz może zaatakować dwa modele, pochodzące od dwóch różnych, dużych producentów takich urządzeń.
-
W lutym część użytkowników systemu Windows XP zobaczyła tzw. niebieski ekran śmierci (BSOD) po zainstalowaniu najnowszych poprawek. Spowodowany on był, jak się okazało, wcześniejszym zainfekowaniem komputera przez rootkit. Dlatego też Microsoft podjął obecnie kontrowersyjną decyzję dotyczącą sposobu instalowania poprawek. Koncern uznał, że posiadacze Windows XP, których komputer został zainfekowany rootkitem nie będą mogli zainstalować poprawek. Firma informuje, że mechanizm poprawek zawiera pewne funkcje, które uniemożliwiają instalację jeśli w 32-bitowej wersji systemu zostaną wykryte nieprawidłowości. Teraz użytkownik Windows XP będzie wiedział, że jeśli poprawki nie zostały zainstalowane to z jego komputerem dzieje się coś niepokojącego.
-
Eksperci potwierdzili, że twórcy rootkita, który powodował awarie Windows XP poprawili swój szkodliwy program tak, że system operacyjny pracuje już bez problemów. Sprawa wyszła na jaw przy okazji ostatniego zestawu łatek Microsoftu. Okazało się, że po zainstalowaniu biuletynu MS10-015 na komputerach niektórych użytkowników Windows XP pojawia się tzw. niebieski ekran śmierci (BSOD). Z kolei inne maszyny bez końca się restartowały. Microsoft szybko wycofał biuletyn i rozpoczął śledztwo. Po niedługim czasie w Sieci pojawiła się informacja, że awariom nie jest winna żadna wada w biuletynie, ale rootkit Tidserv (znany też jako TDSS i TDL3), który wcześniej zainfekował niektóre komputery. Specjaliści z Microsoftu stwierdzili, że szkodliwy kod może być przyczyną awarii, ale nie wykluczyli też innych możliwości. Wkrótce jednak niezależni eksperci uznali, że najbardziej prawdopodobnym winnym jest właśnie Tidserv, który źle współpracuje z najnowszymi poprawkami. Teraz specjaliści informują, że zauważyli pewne działania, które wskazują na to, iż cyberprzestępcy aktualizują rootkita tak, by nie wywoływał konfliktu z MS10-015. Leży to w interesie samych przestępców, gdyż komputer, na którym wystąpił BSOD jest dla nich bezużyteczny. Ponadto samo wystąpienie awarii pokazało wielu osobom, że ich komputery zostały zainfekowane, a przecież idea tworzenia rootkitów polega na tym, że pozostają one całkowicie niezauważalne. Pomimo opinii większości niezależnych ekspertów Microsoft nie kończy śledztwa w sprawie awarii i nie uznaje jej przyczyn za wyjaśnione. Koncern sprawdza, czy pojawienie się BSOD-ów nie ma też innych przyczyn. Roel Schouwenberg z firmy Kaspersky i Marc Fossi z Symanteka zdecydowanie jednak wskazują na rootkit i mówią, że gdyby znalazł się on w Windows Viście czy Windows 7 również wywołałby awarię. Przyczyną, dla której błąd występuje tylko w XP jest fakt, że zdecydowana większość komputerów korzysta właśnie z tego systemu - mówi Schouwenberg. Microsoft ponownie udostępni MS10-015 dopiero po zakończeniu własnego śledztwa.
-
Xuxian Jiang i Peng Ning z North Carolina State University (NCSU) we współpracy z Windongiem Cui z Microsoft Research opracowali metodę skuteczniejszej ochrony jąder systemów operacyjnych przed rootkitami. Wiele rootkitów ukrywa się przed użytkownikiem przejmując kontrolę nad hookami w jądrze systemu. Istotną sprawą jest ochrona hooków przed takim działaniem, jednak problem w tym, że w jądrze systemu mogą ich być tysiące, a ponadto wiele z nich jest dynamicznie alokowanych. Specjaliści opracowali system nazwany HookSafe, który wykorzystuje hyperwizora do zarządzania hookami. Umożliwia on przeniesienie hooków do określonego obszaru pamięci i regulowanie dostępu do nich z poziomu sprzętowego. Prototyp HookSafe jest w stanie chronić ponad 5900 hooków w jądrze Linuksa. Testy na dziewięciu rootkitach wykazały, że system był w stanie ochronić jądro przed wszystkimi. Taki poziom ochrony uzyskano kosztem 6-procentowego spadku wydajności systemu.
- 2 replies
-
- Microsoft
- North Carolina State University
-
(and 3 more)
Tagged with:
-
Dwa lata temu wybuchła wielka afera z rootkitami, które firma Sony umieszczała na płytach z muzyką. Niestety, niczego to Japończyków nie nauczyło... Firma F-Secure informuje, że klips Microvault USB produkcji Sony naraża użytkowników na niebezpieczeństwo, gdyż wykorzystuje techniki podobne do stosowanych przez rootkity. Napęd USB jest zabezpieczony za pomocą czytnika linii papilarnych. Dostęp do przechowywanych danych można uzyskać dopiero po zainstalowaniu odpowiedniego oprogramowania na pececie. Okazuje się, że program tworzy na dysku ukryty katalog. Zdaniem F-Secure część oprogramowania antywirusowego nie potrafi dostać się do tego katalogu i przeskanować jego zawartości. Teoretycznie katalog ten może zostać wykorzystany przez cyberprzestępców do ukrycia szkodliwego kodu. Sony postanowiło wykorzystać katalog, który ukryty jest zarówno przed użytkownikiem jak i przed samym systemem operacyjnym, do przechowywania cyfrowego podpisu i upewnienia się, że Microvault będzie bezpiecznie przechowywał dane. Wykorzystało jednak do tego celu technologię, która może nie spodobać się użytkownikom tym bardziej, że firma ma już na swoim koncie poważną wpadkę z rootkitami. W najbliższym czasie przekonamy się, czy i tym razem przyjdzie jej zapłacić za narażenie użytkownika na niebezpieczeństwo.
-
- Microvault
- USB
-
(and 2 more)
Tagged with:
-
Czterech znanych ekspertów ds. bezpieczeństwa, Dino Dai Zovi, Peter Ferrie z Symanteka, Nate Lawson z Root Labs i Thomas Ptacek z Matasaano rzuciło wyzwanie znanej polskiej specjalistce Joannie Rutkowskiej. Jest ona autorką technologii „Blue Pill”, która wykorzystuje technologię wirtualizacji procesorów AMD do ukrycia szkodliwego kodu. Dzięki niej, jak mówi Rutkowska, można stworzyć niewykrywalnego rootkita. Jej oponenci twierdzą, że program zostawiłby tak wiele śladów, iż nie zdołałby się ukryć i wezwali Rutkowską do udowodnienia swoich twierdzeń. Pani Joanna przyjęła wyzwanie, ale postawiła kilka warunków. Podstawowym jest znalezienie sponsora. Stworzenie odpowiedniego kodu będzie kosztowało ją i jej firmę 416 000 dolarów. Program musi być pisany od początku, gdyż „Blue Pill” powstało, gdy Rutkowska pracowała w innej firmie, więc nie może wykorzystać stworzonego wówczas kodu. Inny warunek to zapewnienie co najmniej 5 maszyn, na których zostanie przeprowadzony pokaz. Wtedy bowiem istnieje małe prawdopodobieństwo, że stworzony przez nią szkodliwy kod zostanie odkryty przypadkiem metodą zgadywania.
- 1 reply
-
- Blue Pill
- Thomas Ptacek
- (and 5 more)
-
Grisoft, producent popularnego programu antywirusowego AVG, udostępnił oprogramowania zwalczające rootkity. AVG Anti-Rootkit ma za zadanie uchronienie użytkownika przed zainstalowaniem rootkita. Rootkity są wykorzystywane przez cyberprzestępców do ukrycia faktu zainstalowania i działania szkodliwego kodu. Są bardzo trudne do wykrycia i zwalczenia. Opinia publiczna szerzej zainteresowała się nimi w ubiegłym roku, gdy jeden z ekspertów ds. bezpieczeństwa wykrył, że firma Sony BMG zastosowała rootkity do ochrony swoich płyt muzycznych przed kopiowaniem. Użytkownicy mieli z tego powodu olbrzymie problemy, a Sony musiało wypłacić duże odszkodowania. Darmowego AVG Anti-Rootkita można pobrać z witryny Grisoftu.
-
Dyrektor ds. operacji należącego do firmy McAfee Avert Labs, Joe Telafici, jest zdania, że minęły dni wielkich epidemii wirusów. Podczas konferencji AVAR (Association of Antivirus Asia Researchers) Telafici stwierdził, że obecnie cyberprzestępcy nie chcą zwracać na siebie uwagi. Głównym motywem ich działań są pieniądze, a nie sława. Dlatego też mało prawdopodobne jest, byśmy w przyszłości byli świadkami ogólnoświatowych epidemii. Przedstawiciele firmy McAfee zaprezentowali również listę głównych zagrożeń, jakie będą czyhały w 2007 roku. Wzrośnie zagrożenie ze strony botów, automatycznych programów, które atakują komputery i wykonują zaprogramowane zadania. Jednym z ich głównych celów jest tworzenie botnetów, czyli sieci komputerów-zombie. Sieci takie wykorzystywane są do rozsyłania spamu czy przeprowadzania ataków typu DDoS. Coraz częściej botnety będą kontrolowane nie za pomocą IRC, jak to ma miejsce obecnie, ale poprzez komunikatory i sieci P2P.Wzrośnie liczba rootkitów (programów, które służą do ukrywania szkodliwych plików i maskowania faktu, że doszło do zarażenia bądź ataku na daną maszynę) dla 32-bitowych platform. Poprawią się też techniki obrony przed nimi. Rootkity staną się standardowym narzędziem.Będzie rosła liczba wykrywanych dziur w programach. Z jednej bowiem strony powstają coraz doskonalsze zautomatyzowane narzędzia do wyszukiwania takich dziur, a z drugiej, istnieje cały czarny rynek handlu informacjami o dziurach. Coraz więcej firm decyduje się również na płacenie specjalistom za dziury znalezione w ich własnych programach.Problemem wciąż będzie kradzież tożsamości i danych finansowych.Wzrośnie liczba witryn, których zadaniem będzie kradzież nazw użytkownika i haseł do popularnych serwisów, takich jak eBay czy YouTube. Witryny takie będą do złudzenia przypominały witryny prawdziwych serwisów.Będzie rosła ilość spamu.W związku z rosnącą popularnością stron umożliwiających wymianę plików wideo, cyberprzestępcy zaatakują format MPEG i spróbują wykorzystać go do własnych celów, umieszczając w plikach wideo szkodliwe oprogramowanie.Wzrośnie liczba ataków na telefony komórkowe i urządzenia przenośne, które stają się coraz bardziej zaawansowane technologicznie i coraz łatwiej łączą się pomiędzy sobą oraz z Internetem.Jednym z głównych problemów stanie się adware, czyli oprogramowanie, które wyświetla niechciane reklamy.Powróci szkodliwe oprogramowanie, którego zadaniem jest modyfikacja plików znajdujących się na dyskach twardych.
-
Sony BMG doszło do porozumienia ze stanem Kalifornia w sprawie rootkita, którym zostały zarażone komputery na całym świecie. Przypomnijmy, że w październiku ubiegłego roku jeden z ekspertów odkrył na swoim komputerze ukryte pliki, które zainstalowały się po włożeniu do napędu CD płyty muzycznej wydanej przez Sony BMG. Przy próbie usunięcia tych plików napęd został zablokowany. Bliższe przyjrzenie się plikom wykazało, że są to rootkity, narządzia wykorzystywane przy włamaniach do systemów informatycznych. Pomagają one ukryć procesy i pliki służące do kontrolowania zainfekowanego komputera, a samo wykrycie i usunięcie rootkitów jest bardzo trudne. Bardzo szybko okazało się, że Sony świadomie użyła rootkita, by chronić prawa autorskie umieszczonych na płytach utworów. Nie poinformowała jednak o tym swoich klientów. W wyniku działań japońskiej firmy setki tysięcy osób miała olbrzymie kłopoty ze swoim sprzętem komputerowym. Po trwającym wiele miesięcy sporze sądowym ze stanem Kalifornia Sony zgodziło się zapłacić 750 tysięcy dolarów grzywny. Poza tym japońska firma wypłaci każdemu użytkownikowi, którego komputer został zarażony rootkitem, do 175 dolarów zwrotu kosztów usunięcia tego programu. Ocenia się, że około 450 tysięcy mieszkańców Kalifornii kupiło płyty z rootkitem. Nie jest jednak jasne, ilu z nich przesłuchiwało ich na komputerze, a więc ilu może zgłosić się do Sony po odszkodowanie. Ponadto ugoda przewiduje, że Sony nie ma prawa dystrybuować płyt CD z technologią ochrony praw autorskich bez odpowiedniego poinformowania klientów o fakcie zastosowania takiej technologii.
-
- rootkit
- Kalifornia
-
(and 1 more)
Tagged with: