Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Rootkit TDL4 coraz bardziej niebezpieczny

Rekomendowane odpowiedzi

Eksperci ostrzegają, że rootkit TDL4, jeden z najbardziej zaawansowanych złośliwych kodów zagrażających internautom, został jeszcze bardziej udoskonalony.

TDL, znany też jako TDSS, to rodzina wyjątkowo niebezpiecznych, bardzo zaawansowanych technicznie rootkitów. W lipcu bieżącego roku firma Kaspersky stwierdziła, że jest to najbardziej niebezpieczny kod w internecie. Tym, co odróżnia go od innych rootkitów są m.in. zdolność do infekowania 64-bitowej wersji Windows, wykorzystywanie publicznej sieci P2P Kad do łączności z centrum kontroli czy też wykorzystywanie głównego sektora rozruchowego (MBR) do ukrywania się przed oprogramowaniem antywirusowym.

Ocenia się, że botnet stworzony przez tego rootkita liczy sobie 4,5 miliona maszyn.

Teraz badacze z ESET poinformowali, że twórcy rootkita przepisali go na nowo i zmienili sposób, w jaki infekuje on komputery. Zamiast ukrywać się w MBR nowa wersja TDL4 tworzy ukrytą partycję na końcu dysku twardego i ustawia ją jako aktywną. Dzięki temu szkodliwy kod jest uruchamiany przed startem systemu operacyjnego i jest chroniony przed oprogramowaniem zapobiegającym nieautoryzowanym modyfikacjom w MBR. Twórcy TDL4 opracowali też zaawansowany system plików dla partycji utworzonej przez rootkita. Szkodliwy kod może teraz sprawdzać spójność przechowywanych tam danych. Złośliwy kod jest teraz w stanie wykryć zmiany dokonane w plikach przechowywanych na ukrytej partycji sprawdzając sumę kontrolną CRC32 i porównując ją z sumą przechowywaną w nagłówku pliku. Jeśli zostanie wykryte uszkodzenie pliku, jest on usuwany z systemu - informuje ESET. Takie działanie ma zabezpieczyć rootkita przed skierowanymi przeciwko niemu działaniami. W kwietniu bieżącego roku Microsoft opublikował poprawkę, która tak modyfikowała system, by wykorzystywana przez TDL4 ścieżka infekcji została zakłócona. Dwa tygodnie później przestępcy wypuścili poprawkę do rootkita, dzięki której złośliwy kod obchodził poprawkę Microsoftu.

Determinacja cyberprzestępców oraz wysoki stopień zaawansowania szkodliwego kodu wskazują, że jest on dziełem profesjonalistów, którzy mają zamiar na nim zarabiać.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Producent oprogramowania antywirusowego Avast ostrzega, że komputery z systemem Windows XP stały się „rezerwatem" dla szkodliwego oprogramowania. Zdaniem czeskiej firmy liczba maszyn z Windows XP zainfekowanych rootkitami jest nieproporcjonalnie duża w stosunku do udziału systemu w rynku.
      Avast Software przeanalizowała dane z 600 000 pecetów z systemem Windows. Obecnie do Windows XP należy około 58% rynku systemów firmy Microsoft. Jednocześnie maszyny z Windows XP stanowią aż 74% komputerów z Windows zainfekowanych rootkitami. Znacznie bezpieczniejszy pod tym względem jest system Windows 7. Jego udziały w rynku komputerów z systemem Microsoftu wynoszą 31%, ale udziały wśród komputerów zarażonych rootkitami to jedynie 12%.
      Rootkity stały się w przeciągu ostatnich lat codziennością w świecie IT. Stanowią one bardzo ważną część najbardziej zaawansowanych ataków. Szczególnie popularne są wśród twórców botnetów, gdyż pozwalają ukryć przed użytkownikiem fakt, że ich komputer został zarażony innym szkodliwym kodem.
      Zdaniem Avasta przyczynami tak dużej dysproporcji w infekcjach pomiędzy Windows XP a Windows 7 są z jednej strony olbrzymia liczba pirackich kopii tego pierwszego oraz lepsze mechanizmy zabezpieczające ten drugi system.
      Z danych Avast Software wynika, że około 33% użytkowników Windows XP korzysta z wersji z SP2 lub wcześniejszych. A to oznacza, że nie instalują oni łat udostępnianych przez Microsoft. Koncern z Redmond zakończył wsparcie dla Windows XP SP2. Obecnie łaty mogą pobierać użytkownicy Windows XP SP3. Jednak co trzeci posiadacz Widnows XP nie zainstalował SP3 gdyż posiada piracką kopię systemu i obawia się instalowania Service Packa 3.
      Specjaliści zalecają użytkownikom Windows XP zainstalowanie SP3 lub przejście na system Windows 7, najlepiej jego 64-bitową wersję. 
    • przez KopalniaWiedzy.pl
      Rozpoczęła się epoka rootkitów atakujących 64-bitowe systemy operacyjne. Tak przynajmniej uważa Marco Giuliani, ekspert ds. bezpieczeństwa z firmy Prevx. Badacze odkryli właśnie rootkita, który omija zabezpieczenia 64-bitowego Windows i jest w stanie zainfekować system.
      Rootkit zwany Alureon, TDL czy Tidserv to ten sam szkodliwy kod, który wywoływał w lutym "niebieski ekran śmierci" na zainfekowanych komputerach z systemem Windows XP, na którym zainstalowano właśnie poprawki. Wtedy, najprawdopodobniej wskutek błędów twórców szkodliwego kodu, wcześniej zainfekowane komputery po instalacji poprawek doświadczały awarii. Microsoft wycofał poprawki i wydał je później, ale wraz z mechanizmem, który blokował ich instalację w przypadku wykrycia infekcji na komputerze użytkownika.
      Przestępcy zmodyfikowali jego kod i, jak informują Prevx oraz Symantec, aktywnie wykorzystują szkodliwy kod.
      Infekcja rozprzestrzenia się zarówno za pomocą witryn pornograficznych jak i specjalnych narzędzi - ostrzega Giuliani.
      Szkodliwy kod jest bardzo zaawansowany. Omija dwie antyrootkitowe technologie w Windows - Kernel Mode Code Signing oraz Kernel Patch Protection. Rootkit dokonuje tego, jak informuje Giuliani, poprzez nadpisanie głównego sektora rozruchowego dysku twardego, co pozwala na przejęcie uruchamiania procesu uruchamiania dysku podczas startu komputera i załadowanie własnych sterowników. Rootkity przechwytujące MBR są praktycznie niewidoczne dla systemu operacyjnego i programów antywirusowych.
      Główne komponenty Tidserva są przechowywane w formie zaszyfrowanej w nieużywanych fragmentach na końcu przestrzeni twardego dysku. To czyni je trudniejszym do wykrycia i usunięcia - mówią specjaliści z Symanteka.
      Eksperci wciąż badają rootkit i zapowiadają ujawnienie kolejnych informacji na jego temat.
    • przez KopalniaWiedzy.pl
      Nicholas Percoco i Christian Papathanasiou zapowiadają prezentację rootkita na telefon z systemem Android. Będzie ona miała miejsce podczas lipcowej konferencji Defcon. Eksperci pokażą rootkita zdolnego do kradzieży treści SMS-ów, wykonywania połączeń oraz informowaniu o położeniu urządzenia.
      W tej chwili nie wiadomo, w jaki sposób udało się obejść zabezpieczenia Androida. Autorzy rootkita zapewniają jednak, że jest to możliwe za pomocą podsuniętego właścicielowi telefonu odnośnika lub wraz z instalowaną przez niego aplikacją.
      Obaj specjaliści mówią, że wykorzystali Androida, gdyż korzysta on z jądra Linuksa. Android jest idealną platformą do dalszych badań ze względu na używanie jądra Linuksa oraz na to, że zgromadzono sporą wiedzę na temat linuksowych rootkitów jądra - stwierdzili. Ich rootkit działa jako moduł jądra, dając atakującemu pełny dostęp do urządzenia.
      To nie pierwszy tego typu szkodliwy kod. W lutym badacze z Rutgers University pokazali roorkita dla linuksowego smartfonu Neo Freerunner. Zauważyli przy tym, że wykrywanie tego typu szkodliwego kodu będzie dla smartfonów poważnym wyzwaniem ze względu na ograniczoną moc obliczeniową takich urządzeń. Istniejące mechanizmy wykrywania rootkitów opracowane zostały na potrzeby desktopów. Wykorzystują one, wymagające dużych mocy obliczeniowych, periodyczne skanowanie migawek jądra. Takie techniki zużyłyby znaczne ilości energii, gdyby zostały zastosowane w smartfonach - napisali naukowcy z Rutgers.
    • przez KopalniaWiedzy.pl
      Przed rokiem pracodawca skutecznie uniemożliwił Barnaby Jackowi wygłoszenie wykładu dotyczącego luki w zabezpieczeniach bankomatów. Tym razem, podczas konferencji Black Hat, która odbędzie się w Los Angeles w dniach 28-29 lipca, ekspert opowie o sposobach ataku na bankomaty i zaprezentuje wieloplatformowego rootkita ułatwiającego atak.
      Jack zaprezentuje kilka rodzajów ataku, w tym atak zdalny za pomocą sieci.
      Zwykle bankomaty atakowane są poprzez zainstalowanie w nich fałszywych czytników kart, które kradną dane z karty, oraz kamer lub fałszywych klawiatur, umożliwiających poznanie numeru PIN.
      Barnaby Jack skupił się jednak na szukaniu dziur w oprogramowaniu bankomatów. Znalazł je już przed rokiem, jednak jego pracodawca - firma Juniper - nie pozwoliła mu na udział w konferencji. Specjalista wykorzystał ten rok do dalszych badań, a przed miesiącem zmienił pracodawcę zostając dyrektorem ds. badań bezpieczeństwa firmy IOActive.
      Jack zapowiada, że o ile w ubiegłym roku znał sposób na zaatakowanie jednego modelu bankomatu, teraz może zaatakować dwa modele, pochodzące od dwóch różnych, dużych producentów takich urządzeń.
    • przez KopalniaWiedzy.pl
      W lutym część użytkowników systemu Windows XP zobaczyła tzw. niebieski ekran śmierci (BSOD) po zainstalowaniu najnowszych poprawek. Spowodowany on był, jak się okazało, wcześniejszym zainfekowaniem komputera przez rootkit. Dlatego też Microsoft podjął obecnie kontrowersyjną decyzję dotyczącą sposobu instalowania poprawek.
      Koncern uznał, że posiadacze Windows XP, których komputer został zainfekowany rootkitem nie będą mogli zainstalować poprawek.
      Firma informuje, że mechanizm poprawek zawiera pewne funkcje, które uniemożliwiają instalację jeśli w 32-bitowej wersji systemu zostaną wykryte nieprawidłowości.
      Teraz użytkownik Windows XP będzie wiedział, że jeśli poprawki nie zostały zainstalowane to z jego komputerem dzieje się coś niepokojącego.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...