Руткит нацелен на Windows x64: как распознать заражение

В последние дни крупные компании, работающие в сфере кибербезопасности, сделали довольно зловещее заявление: 64-битные системы Windows стали жертвами руткитов. Первыми, кому удалось заразить x64-версии Windows, удалось авторам известного руткита TDL3, также известного как Alureon или TDSS.

Компании, производящие и распространяющие антивирусное и антивредоносное программное обеспечение, часто хвалят TDL3: хотя это опасное вредоносное ПО, авторы этого «черного зверя» всегда использовали новые подходы и методологии, которые, к сожалению, всегда оказывались весьма эффективными.

Руткит TDL3 вернулся в «заголовки» в феврале прошлого года, когда его присутствие на большом количестве систем было разоблачено появлением синего экрана при запуске Windows. Ответственность за «синий экран смерти» изначально возлагалась на Microsoft; на самом деле причиной запуска было именно действие руткита на каждой зараженной системе. Что произошло в этот момент? Как мы объяснили в этой статье, присутствие руткита TDL3 помешало установке патча Microsoft, исправляющего некоторые бреши, обнаруженные в ядре Windows. После установки обновления руткит больше не находил на зараженной машине ожидаемую версию ядра, в результате чего при каждом последующем запуске Windows появлялся пугающий синий экран.

Руткиты по своей природе являются «существами», которые должны максимально скрываться от глаз пользователя, а также от расследований, проводимых различными антивирусными и антивредоносными программами. Появление синего экрана представляет собой проблему для тех, кто занимается разработкой руткитов: поэтому авторы TDL3 немедленно выпустили обновление для своего вредоносного ПО, способное адаптировать его поведение к обнаруживаемой время от времени версии ядра (технические аспекты уточняются в данном наши новости).

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

С тех пор авторы TDL3, должно быть, усердно работали над расширением возможностей своего руткита, чтобы сегодня иметь возможность «нацеливаться» на системы Windows x64.

64-битные версии Windows Vista и Windows 7 не позволяют никакому драйверу получить доступ к области памяти, используемой ядром операционной системы: это происходит благодаря очень строгому контролю над цифровыми подписями. Если драйвер не имеет цифровой подписи, Windows запрещает его загрузку. Этот метод защищает систему от любого руткита «режима ядра», поскольку вредоносное ПО обычно не имеет цифровой подписи. Второй метод, используемый в 64-битных версиях Windows, заключается в использовании PatchGuard («Защита от исправлений ядра»): это дополнительный уровень защиты, предотвращающий любые попытки модификации «чувствительных» областей, составляющих ядро ​​системы. операционная.

Марко Джулиани, специалист по технологиям вредоносных программ в Prevx, назвал TDL3 «самым передовым руткитом в обращении». В течение нескольких месяцев различные компании, специализирующиеся в области кибербезопасности, не регистрировали обновлений, касающихся руткита TDL3. Сигнал, свидетельствующий о том, что что-то серьезное «кипит в котле»: в эти дни определенная версия руткита, нацеленная на системы Windows x64, была изолирована и, следовательно, снова произвела революцию в сценарии вредоносного ПО. «Инфекция, нацеленная на 64-разрядные системы Windows, уже распространяется по сети», — прокомментировал Джулиани, пояснив, что углубленный анализ руткита все еще продолжается.

«Чтобы обойти проверку цифровой подписи и защиту от исправлений ядра, руткит вмешивается в содержимое основной загрузочной записи диска таким образом, чтобы иметь возможность «перехватить» процедуры загрузки Windows, завладеть им. и загрузите его драйвер», — добавил Джулиани. В то время как в системах x86 нет необходимости перезапускать Windows, так как «вредоносный» драйвер загружается без проблем, в 64-разрядных версиях процедура, приводящая к заражению системы, отличается: «руткиту нужны права администратора, чтобы заразить главную загрузочную запись и , даже после этого он не может запуститься сразу из-за защиты, установленной на уровне ядра», — поясняет эксперт Prevx. Таким образом, «дроппер» (программа, разработанная для установки вредоносного ПО или открытия «черного хода» в системе) руткита заставляет Windows перезагружаться: таким образом код, загружаемый в основную загрузочную запись (которая, среди прочего, присутствует в зашифрованном виде) может выполнять «грязную работу» и «подрывать» защиту операционной системы.

Многие компании, занимающиеся безопасностью, уже обновили свои приложения, пытаясь обнаружить 64-разрядный вариант TDL3. Microsoft, например, начала оснащать свой пакет Основы безопасности вирусных сигнатур в начале августа.

Однако есть быстрый способ проверить, не была ли система x64 Windows уже заражена 64-разрядной версией руткита TDL3. Учитывая, что в случае 64-битных версий Windows XP и Windows Server 2003 система, однажды зараженная руткитом TDL3, по крайней мере пока, больше не будет загружаться, пользователи Vista и Windows 7 64-бит могут прибегнуть к проверку очень просто применить на практике.

На самом деле достаточно открыть командную строку (клавиша Windows + R, затем ввести cmd и нажать клавишу Enter) и вызвать команду diskpart. Это запустит утилиту для управления разделами на дисках. Если при вводе команды lis dis в командной строке Diskpart утилита сообщает об отсутствии жестких дисков, то наличие заражения TDL3 следует считать достоверным.

В противном случае, если Diskpart возвращает экран, подобный следующему, TDL3 отсутствует.

В случае заражения в окне «Управление дисками» Windows Vista и Windows 7 также не будут отображаться какие-либо накопители в списке.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *