Zaloguj się, aby obserwować tę zawartość
Obserwujący
0
Darmowy program antyrootkitowy Grisoftu
dodany przez
KopalniaWiedzy.pl, w Technologia
-
Podobna zawartość
-
przez KopalniaWiedzy.pl
Eksperci ostrzegają, że rootkit TDL4, jeden z najbardziej zaawansowanych złośliwych kodów zagrażających internautom, został jeszcze bardziej udoskonalony.
TDL, znany też jako TDSS, to rodzina wyjątkowo niebezpiecznych, bardzo zaawansowanych technicznie rootkitów. W lipcu bieżącego roku firma Kaspersky stwierdziła, że jest to najbardziej niebezpieczny kod w internecie. Tym, co odróżnia go od innych rootkitów są m.in. zdolność do infekowania 64-bitowej wersji Windows, wykorzystywanie publicznej sieci P2P Kad do łączności z centrum kontroli czy też wykorzystywanie głównego sektora rozruchowego (MBR) do ukrywania się przed oprogramowaniem antywirusowym.
Ocenia się, że botnet stworzony przez tego rootkita liczy sobie 4,5 miliona maszyn.
Teraz badacze z ESET poinformowali, że twórcy rootkita przepisali go na nowo i zmienili sposób, w jaki infekuje on komputery. Zamiast ukrywać się w MBR nowa wersja TDL4 tworzy ukrytą partycję na końcu dysku twardego i ustawia ją jako aktywną. Dzięki temu szkodliwy kod jest uruchamiany przed startem systemu operacyjnego i jest chroniony przed oprogramowaniem zapobiegającym nieautoryzowanym modyfikacjom w MBR. Twórcy TDL4 opracowali też zaawansowany system plików dla partycji utworzonej przez rootkita. Szkodliwy kod może teraz sprawdzać spójność przechowywanych tam danych. Złośliwy kod jest teraz w stanie wykryć zmiany dokonane w plikach przechowywanych na ukrytej partycji sprawdzając sumę kontrolną CRC32 i porównując ją z sumą przechowywaną w nagłówku pliku. Jeśli zostanie wykryte uszkodzenie pliku, jest on usuwany z systemu - informuje ESET. Takie działanie ma zabezpieczyć rootkita przed skierowanymi przeciwko niemu działaniami. W kwietniu bieżącego roku Microsoft opublikował poprawkę, która tak modyfikowała system, by wykorzystywana przez TDL4 ścieżka infekcji została zakłócona. Dwa tygodnie później przestępcy wypuścili poprawkę do rootkita, dzięki której złośliwy kod obchodził poprawkę Microsoftu.
Determinacja cyberprzestępców oraz wysoki stopień zaawansowania szkodliwego kodu wskazują, że jest on dziełem profesjonalistów, którzy mają zamiar na nim zarabiać.
-
przez KopalniaWiedzy.pl
Producent oprogramowania antywirusowego Avast ostrzega, że komputery z systemem Windows XP stały się „rezerwatem" dla szkodliwego oprogramowania. Zdaniem czeskiej firmy liczba maszyn z Windows XP zainfekowanych rootkitami jest nieproporcjonalnie duża w stosunku do udziału systemu w rynku.
Avast Software przeanalizowała dane z 600 000 pecetów z systemem Windows. Obecnie do Windows XP należy około 58% rynku systemów firmy Microsoft. Jednocześnie maszyny z Windows XP stanowią aż 74% komputerów z Windows zainfekowanych rootkitami. Znacznie bezpieczniejszy pod tym względem jest system Windows 7. Jego udziały w rynku komputerów z systemem Microsoftu wynoszą 31%, ale udziały wśród komputerów zarażonych rootkitami to jedynie 12%.
Rootkity stały się w przeciągu ostatnich lat codziennością w świecie IT. Stanowią one bardzo ważną część najbardziej zaawansowanych ataków. Szczególnie popularne są wśród twórców botnetów, gdyż pozwalają ukryć przed użytkownikiem fakt, że ich komputer został zarażony innym szkodliwym kodem.
Zdaniem Avasta przyczynami tak dużej dysproporcji w infekcjach pomiędzy Windows XP a Windows 7 są z jednej strony olbrzymia liczba pirackich kopii tego pierwszego oraz lepsze mechanizmy zabezpieczające ten drugi system.
Z danych Avast Software wynika, że około 33% użytkowników Windows XP korzysta z wersji z SP2 lub wcześniejszych. A to oznacza, że nie instalują oni łat udostępnianych przez Microsoft. Koncern z Redmond zakończył wsparcie dla Windows XP SP2. Obecnie łaty mogą pobierać użytkownicy Windows XP SP3. Jednak co trzeci posiadacz Widnows XP nie zainstalował SP3 gdyż posiada piracką kopię systemu i obawia się instalowania Service Packa 3.
Specjaliści zalecają użytkownikom Windows XP zainstalowanie SP3 lub przejście na system Windows 7, najlepiej jego 64-bitową wersję.
-
przez KopalniaWiedzy.pl
Badacze z Université Laval i Nova Scotia Agricultural College odkryli, co konkretnie powoduje opadanie igieł bożonarodzeniowych drzewek i opracowali sposób na podwojenie ich żywotności. Na razie Kanadyjczycy prowadzili eksperymenty na jodle balsamicznej, ale przy innych gatunkach prawdopodobnie działa ten sam mechanizm. Okazało się, że za utratę igieł odpowiada hormon roślinny etylen (Trees).
Naukowcy umieszczali gałązki Abies balsamea w pojemnikach z wodą znajdujących się w komorze wzrostu. Po 10 dniach gałązki zaczęły wytwarzać etylen, a 3 dni później rozpoczęło się opadanie igieł. Po 40 dniach gałęzie były już zupełnie nagie.
Aby stwierdzić, czy opadanie igieł jest skutkiem produkcji etylenu, biolodzy wykorzystali dwie substancje blokujące ten hormon: 1-metylocyklopropen (1-MCP; syntetyczny hormon roślinny, stosowany przez przemysł m.in. do spowalniania dojrzewania owoców) i AVG (aminoetoksywinyloglicynę). W pierwszym przypadku igły zachowały się przez 73 dni, a w drugim przez 87.
Do 40. dnia gałązki, które poddano działaniu wymienionych substancji, były nadal zielone i świeże. W tym czasie grupa kontrolna całkowicie wyłysiała – opowiada Steeve Pépin z Université Laval. Na odkryciu tym skorzystają zarówno producenci, jak i klienci. 1-MCP ma postać gazu i można by go rozpylać choćby w ciężarówkach transportujących drzewka, zaś nabywcy choinek, a tych przecież nie brakuje, z łatwością rozpuściliby AVG w wodzie wlewanej do stojaka. To na razie pobożne życzenia, bo jak dodaje Pépin, trzeba jeszcze sprawdzić, czy to samo co z gałązką dzieje się z całym drzewkiem.
-
przez KopalniaWiedzy.pl
Rozpoczęła się epoka rootkitów atakujących 64-bitowe systemy operacyjne. Tak przynajmniej uważa Marco Giuliani, ekspert ds. bezpieczeństwa z firmy Prevx. Badacze odkryli właśnie rootkita, który omija zabezpieczenia 64-bitowego Windows i jest w stanie zainfekować system.
Rootkit zwany Alureon, TDL czy Tidserv to ten sam szkodliwy kod, który wywoływał w lutym "niebieski ekran śmierci" na zainfekowanych komputerach z systemem Windows XP, na którym zainstalowano właśnie poprawki. Wtedy, najprawdopodobniej wskutek błędów twórców szkodliwego kodu, wcześniej zainfekowane komputery po instalacji poprawek doświadczały awarii. Microsoft wycofał poprawki i wydał je później, ale wraz z mechanizmem, który blokował ich instalację w przypadku wykrycia infekcji na komputerze użytkownika.
Przestępcy zmodyfikowali jego kod i, jak informują Prevx oraz Symantec, aktywnie wykorzystują szkodliwy kod.
Infekcja rozprzestrzenia się zarówno za pomocą witryn pornograficznych jak i specjalnych narzędzi - ostrzega Giuliani.
Szkodliwy kod jest bardzo zaawansowany. Omija dwie antyrootkitowe technologie w Windows - Kernel Mode Code Signing oraz Kernel Patch Protection. Rootkit dokonuje tego, jak informuje Giuliani, poprzez nadpisanie głównego sektora rozruchowego dysku twardego, co pozwala na przejęcie uruchamiania procesu uruchamiania dysku podczas startu komputera i załadowanie własnych sterowników. Rootkity przechwytujące MBR są praktycznie niewidoczne dla systemu operacyjnego i programów antywirusowych.
Główne komponenty Tidserva są przechowywane w formie zaszyfrowanej w nieużywanych fragmentach na końcu przestrzeni twardego dysku. To czyni je trudniejszym do wykrycia i usunięcia - mówią specjaliści z Symanteka.
Eksperci wciąż badają rootkit i zapowiadają ujawnienie kolejnych informacji na jego temat.
-
przez KopalniaWiedzy.pl
Nicholas Percoco i Christian Papathanasiou zapowiadają prezentację rootkita na telefon z systemem Android. Będzie ona miała miejsce podczas lipcowej konferencji Defcon. Eksperci pokażą rootkita zdolnego do kradzieży treści SMS-ów, wykonywania połączeń oraz informowaniu o położeniu urządzenia.
W tej chwili nie wiadomo, w jaki sposób udało się obejść zabezpieczenia Androida. Autorzy rootkita zapewniają jednak, że jest to możliwe za pomocą podsuniętego właścicielowi telefonu odnośnika lub wraz z instalowaną przez niego aplikacją.
Obaj specjaliści mówią, że wykorzystali Androida, gdyż korzysta on z jądra Linuksa. Android jest idealną platformą do dalszych badań ze względu na używanie jądra Linuksa oraz na to, że zgromadzono sporą wiedzę na temat linuksowych rootkitów jądra - stwierdzili. Ich rootkit działa jako moduł jądra, dając atakującemu pełny dostęp do urządzenia.
To nie pierwszy tego typu szkodliwy kod. W lutym badacze z Rutgers University pokazali roorkita dla linuksowego smartfonu Neo Freerunner. Zauważyli przy tym, że wykrywanie tego typu szkodliwego kodu będzie dla smartfonów poważnym wyzwaniem ze względu na ograniczoną moc obliczeniową takich urządzeń. Istniejące mechanizmy wykrywania rootkitów opracowane zostały na potrzeby desktopów. Wykorzystują one, wymagające dużych mocy obliczeniowych, periodyczne skanowanie migawek jądra. Takie techniki zużyłyby znaczne ilości energii, gdyby zostały zastosowane w smartfonach - napisali naukowcy z Rutgers.
-
-
Ostatnio przeglądający 0 użytkowników
Brak zarejestrowanych użytkowników przeglądających tę stronę.