Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Eksperci potwierdzili, że twórcy rootkita, który powodował awarie Windows XP poprawili swój szkodliwy program tak, że system operacyjny pracuje już bez problemów. Sprawa wyszła na jaw przy okazji ostatniego zestawu łatek Microsoftu.

Okazało się, że po zainstalowaniu biuletynu MS10-015 na komputerach niektórych użytkowników Windows XP pojawia się tzw. niebieski ekran śmierci (BSOD). Z kolei inne maszyny bez końca się restartowały.

Microsoft szybko wycofał biuletyn i rozpoczął śledztwo. Po niedługim czasie w Sieci pojawiła się informacja, że awariom nie jest winna żadna wada w biuletynie, ale rootkit Tidserv (znany też jako TDSS i TDL3), który wcześniej zainfekował niektóre komputery. Specjaliści z Microsoftu stwierdzili, że szkodliwy kod może być przyczyną awarii, ale nie wykluczyli też innych możliwości. Wkrótce jednak niezależni eksperci uznali, że najbardziej prawdopodobnym winnym jest właśnie Tidserv, który źle współpracuje z najnowszymi poprawkami.

Teraz specjaliści informują, że zauważyli pewne działania, które wskazują na to, iż cyberprzestępcy aktualizują rootkita tak, by nie wywoływał konfliktu z MS10-015. Leży to w interesie samych przestępców, gdyż komputer, na którym wystąpił BSOD jest dla nich bezużyteczny. Ponadto samo wystąpienie awarii pokazało wielu osobom, że ich komputery zostały zainfekowane, a przecież idea tworzenia rootkitów polega na tym, że pozostają one całkowicie niezauważalne.

Pomimo opinii większości niezależnych ekspertów Microsoft nie kończy śledztwa w sprawie awarii i nie uznaje jej przyczyn za wyjaśnione. Koncern sprawdza, czy pojawienie się BSOD-ów nie ma też innych przyczyn.

Roel Schouwenberg z firmy Kaspersky i Marc Fossi z Symanteka zdecydowanie jednak wskazują na rootkit i mówią, że gdyby znalazł się on w Windows Viście czy Windows 7 również wywołałby awarię. Przyczyną, dla której błąd występuje tylko w XP jest fakt, że zdecydowana większość komputerów korzysta właśnie z tego systemu - mówi Schouwenberg.

Microsoft ponownie udostępni MS10-015 dopiero po zakończeniu własnego śledztwa.

Share this post


Link to post
Share on other sites

Mi niestety też się ten problem pokazuje  :'( Myślałam, że to przez podłączenie iPod'a lub też innego urządzenia pod port USB, bo właśnie wtedy najczęściej się ten komunikat pokazuje. Całe szczęście, że teraz mogę wszystko zwalić na komputer :D

Share this post


Link to post
Share on other sites

Całe szczęście, że teraz mogę wszystko zwalić na komputer ;)

 

Sam się nie zainstalował, więc nie tak do końca jego wina. :D

Share this post


Link to post
Share on other sites

Mi niestety też się ten problem pokazuje  :'( Myślałam, że to przez podłączenie iPod'a lub też innego urządzenia pod port USB, bo właśnie wtedy najczęściej się ten komunikat pokazuje. Całe szczęście, że teraz mogę wszystko zwalić na komputer :D

Musiales zainfekowac ktoras z drog:

Infection

This Trojan is typically distributed using a number of means common to many other well-known threats. Namely it has been observed to be spread by fake blogs rigged with URLs to sensational videos that "must be seen" or bogus blog or forum comments with similar baits. The Trojan may also be found in fake Torrent files and P2P downloads, cracks and warez Web sites, and also hacked legitimate and fake Web sites rigged with exploits for various vulnerabilities allowing for what is known as a "drive-by download" to occur.

Share this post


Link to post
Share on other sites
Guest shadowmajk

I dac kobiecie komputer... ;P

Share this post


Link to post
Share on other sites

I dac kobiecie komputer... ;P

 

Pisze na angielskim komputerze wiec wybaczcie bark polskiej znakow. Czuje sie troche zdyskryminowana - wiem co to jest 'trojan' i jak sie go 'sciaga' - nie jestem blondynka :D Poza tym na komputerach tez sie troche znam i mam system antywirusowy (juz wasz uprzedzam, bo zaraz powiecie ze freeware sciagnelam - nie sciagnelam). A co do rootkita to przeciez znajdowal sie w uptade'cie wiec to nie moja wina ;)

Share this post


Link to post
Share on other sites

Pisze na angielskim komputerze wiec wybaczcie bark polskiej znakow.

 

Umm... ::D

 

bo zaraz powiecie ze freeware sciagnelam - nie sciagnelam

 

A to freeware jest zły? ;) Czasem wręcz znacznie lepszy. To tylko polityka dystrybucji. Chociaż patrząc z drugiej strony, to i open source może być uznany jako piractwo i zło... http://webhosting.pl/IIPA.stawiajac.na.Open.Source.jestes.gorszy.od.piratow

 

A co do rootkita to przeciez znajdowal sie w uptade'cie wiec to nie moja wina ;)

 

Ależ w żadnym razie. On nie był w aktualizacjach! Jedynie aktualizacja spowodowała jego, nieplanowane przez autorów, ujawnienie się.

Share this post


Link to post
Share on other sites

Mi pisze w okienku - są aktualizacje do pobrania - kliknij żeby je pobrać (każdy wie o co chodzi) to nie moja wina, że za bardzo ulepszyli :D

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Inżynierom z NASA udało się ustalić przyczynę niespodziewanego resetu komputera Mars Science Laboratory. Do awarii doszło trzy dni po starcie misji, gdy włączono urządzenie skanujące gwiazdy.
      Okazało się, że przyczyną awarii jest nieznana dotychczas wrażliwość wykorzystanego procesora na pewne specyficzne zadania, które spełnia. Cały zespół okoliczności związanych z nietypowym wykorzystaniem procesora doprowadził do pojawieniu się błędu w dostępie do pamięci cache, w wyniku czego instrukcje nie były poprawnie wykonywane.
      Eksperci od ponad 2 miesięcy szukali przyczyny awarii i w końcu ją znaleźli. Wiedzą też, co zrobić, by błąd się nie powtórzył. Skaner gwiazd ponownie uruchomiono na krótko 26 stycznia. Wykrył on Marsa, pojazd zatem ma cel swojej misji w polu widzenia.
      NASA uruchomiła też witrynę, na której można śledzić trasę Mars Science Laboratory. Codziennie publikowane są na niej nowe grafiki, na których zobaczymy zdjęcia Marsa i Ziemi zrobione przez pojazd kosmiczny oraz jego położenie względem Ziemi czy Marsa. Z grafik można dowiedzieć się np., że pojazd przeleciał już 203 miliony kilometrów. Od Ziemi dzieli go w linii prostej 29,5 miliona kilometrów, a od Marsa - 95,7 miliona km.
    • By KopalniaWiedzy.pl
      Microsoft oskarżył jednego z największych brytyjskich sprzedawców detalicznych o produkowanie pirackich kopii Windows. Zdaniem koncernu firma Comet Group PLC, która posiada drugą co do wielkości sieć sprzedaży elektroniki, w jednej ze swoich fabryk nielegalnie produkuje CD z Windows.
      Microsoft wystąpił do sądu przeciwko Comet Group. Jak napisaliśmy w złożonej dzisiaj skardze, Comet wyprodukował i sprzedał niczego niepodejrzewającym klientom w Wielkiej Brytanii tysiące podrobionych płyt. Działania Cometa były nieuczciwe wobec klientów. Oczekujemy innej postawy od sprzedawców produktów Microsoftu - i nasi klienci zasługują na lepsze traktowanie - powiedział David Finn, prawnik z Microsoftu.
      Koncern twierdzi, że w fabryce w Hampshire Comet wyprodukował dziesiątki tysięcy płyt z Windows XP i Windows Vista i rozprowadził je wśród klientów w Wielkiej Brytanii.
    • By KopalniaWiedzy.pl
      Coraz więcej osób porzuca Windows XP. Leciwy system operacyjnych stracił w grudniu 2,4 punktu procentowego rynku i obecnie jest używany przez 46,52% komputerów. Strata jest niemal tak duża, jak w październiku, gdy udziały Windows XP spadły o 2,5 pp. Pomiędzy wrześniem a grudniem system stracił 11% użytkowników, a jego rynkowe udziały zmniejszyły się o 6 punktów procentowych. Tymczasem pomiędzy majem a sierpniem strata wyniosła 8,5% użytkowników czyli 3,4 punktu procentowego. Widoczne jest zatem wyraźne przyspieszenia odchodzenia od Windows XP.
      Większość użytkowników rezygnuje z tego systemu na rzecz Windows 7. W ciągu ostatnich dwóch miesięcy udziały platformy Microsoftu nie zmieniły się i pozostają na poziomie 92,23%. W tym samym czasie o 0,1% spadły udziały Macintosha i o tyle samo wzrosła popularność Linuksa. W dłuższej perspektywie widać jednak niewielki, chociaż nie jest on stały, spadek rynkowych udziałów Windows oraz wzrost Macintosha i Linuksa. W lutym 2001 roku Windows mógł pochwalić się 93,61% udziału w rynku. Do Macintosha należało wówczas 5,42% (obecnie 6,36%), a do Linuksa 0,96% (obecnie 1,41%).
      Windows XP wciąż jest najpopularniejszym systemem operacyjnym. Należy do niego 46,52% rynku. Szybko dogania go jednak Windows 7 (36,99%).
    • By KopalniaWiedzy.pl
      Analityk Rodrigo Branco z firmy Qualys uważa, że do głośnego ataku na RSA, podczas którego przestępcy ukradli z serwerów tokeny zabezpieczające, mogłoby nie dojść, gdyby nie... stare, niezałatane wersje Windows.
      Branco uważa, że obecna w Windows technologia DEP (Data Execution Protection) powstrzymałaby atakujących. DEP to technologia, która zapobiega wykonaniu przez aplikację kodu przechowywanego w pewnych obszarach pamięci, oznaczonych jako obszary, z których kodu nie można wykonywać - przypomina Branco.
      DEP została wprowadzona w Windows w... 2004 roku wraz z Service Packiem 2 dla Windows XP. Jest standardowo obecna w Viście i Windows 7.
      W czasie, gdy doszło do ataku, RSA używała w większości pecetów z Windows XP SP 1. EMC, właściciel RSA, przyznał, że włamanie spowodowało straty w wysokości 40 milionów funtów.
    • By KopalniaWiedzy.pl
      Eksperci ostrzegają, że rootkit TDL4, jeden z najbardziej zaawansowanych złośliwych kodów zagrażających internautom, został jeszcze bardziej udoskonalony.
      TDL, znany też jako TDSS, to rodzina wyjątkowo niebezpiecznych, bardzo zaawansowanych technicznie rootkitów. W lipcu bieżącego roku firma Kaspersky stwierdziła, że jest to najbardziej niebezpieczny kod w internecie. Tym, co odróżnia go od innych rootkitów są m.in. zdolność do infekowania 64-bitowej wersji Windows, wykorzystywanie publicznej sieci P2P Kad do łączności z centrum kontroli czy też wykorzystywanie głównego sektora rozruchowego (MBR) do ukrywania się przed oprogramowaniem antywirusowym.
      Ocenia się, że botnet stworzony przez tego rootkita liczy sobie 4,5 miliona maszyn.
      Teraz badacze z ESET poinformowali, że twórcy rootkita przepisali go na nowo i zmienili sposób, w jaki infekuje on komputery. Zamiast ukrywać się w MBR nowa wersja TDL4 tworzy ukrytą partycję na końcu dysku twardego i ustawia ją jako aktywną. Dzięki temu szkodliwy kod jest uruchamiany przed startem systemu operacyjnego i jest chroniony przed oprogramowaniem zapobiegającym nieautoryzowanym modyfikacjom w MBR. Twórcy TDL4 opracowali też zaawansowany system plików dla partycji utworzonej przez rootkita. Szkodliwy kod może teraz sprawdzać spójność przechowywanych tam danych. Złośliwy kod jest teraz w stanie wykryć zmiany dokonane w plikach przechowywanych na ukrytej partycji sprawdzając sumę kontrolną CRC32 i porównując ją z sumą przechowywaną w nagłówku pliku. Jeśli zostanie wykryte uszkodzenie pliku, jest on usuwany z systemu - informuje ESET. Takie działanie ma zabezpieczyć rootkita przed skierowanymi przeciwko niemu działaniami. W kwietniu bieżącego roku Microsoft opublikował poprawkę, która tak modyfikowała system, by wykorzystywana przez TDL4 ścieżka infekcji została zakłócona. Dwa tygodnie później przestępcy wypuścili poprawkę do rootkita, dzięki której złośliwy kod obchodził poprawkę Microsoftu.
      Determinacja cyberprzestępców oraz wysoki stopień zaawansowania szkodliwego kodu wskazują, że jest on dziełem profesjonalistów, którzy mają zamiar na nim zarabiać.
×
×
  • Create New...