-
BackDoor.Tdss.565
BackDoor.Tdss.565 представляет собой новую модификацию троянской программы-бэкдора, которая обеспечивает киберпреступникам полный контроль над зараженным компьютером. Уникальной особенностью BackDoor.Tdss.565 являются руткит-технологии, которые используются им для скрытия своего присутствия в системе.
подробное описание вредоноса:
http://www.drweb.com/static/BackDoor...%20TDL3%29.pdf
Добавлено через 3 часа 52 минуты
В продожение к описанию вредоноса, хотел добавить комментарии специалиста «Доктор Веб» о компоненте Shield антивируса Dr.Web., который теперь лечит такие руткиты. Взято с форума Dr.Web.
..Что такое вообще Шилд и как его использует антивирус? Шилд есть специальный драйвер, который запускается вместе со сканером и служит прослойкой между сканером и внутренним миром Windows. Т. е. сканер вместо обращений к ядру Windows, использует для этого Шилд, который используя низкоуровневые механизмы работы с памятью, процессами, потоками, дисками предоставляет сканеру доверенные данные. Особенность поведения Шилда заключается в том, что он старается не воздействовать на ОС, т. е. не ведет себя как антируткит, а если и восстанавливает какие-то перехваты, то там, где без этого невозможно обойтись, а таких мест очень мало.
Когда ко мне в руки перешел проект Шилда (это случилось в декабре прошлого года и для меня это было большой неожиданностью; мало кому удается поработать в проектах по разработке антируткитов, а уж поработать в таком проекте как Шилд тем более; это очень и очень здорово), он уже был полнофункциональным и мощным слоем, защищающим сканер от зараженной системы. И все же в нем было одно уязвимое, в смысле функционала, место. Это ввод-вывод на внешние устройства, т. е. низкоуровневая работа с жесткими дисками и файловыми системами. Конечно, вектор направления здесь задают больше руткиты, они показывают Шилду в какую сторону нужно развиваться и что нужно дорабатывать в концептуальном плане. Нет руткитов, нет и функционала.
Примерно в марте у нас зародилась идея о том, что нужно допиливать этот функционал, иначе мы останемся беззащитными перед такой угрозой, которая проявилась как новый tdss. Мы планировали разработать низкоуровневую подсистему работы с FS FAT32 и NTFS и чтобы ввод-вывод по возможности происходил на самом низком уровне, через драйверы портов жесткого диска. Тогда мы представить не могли с какими трудностями столкнемся при ее написании, официальной документации о ее внутреннем устройстве не было, так что приходилось ориентироваться на неофициальные источники и проводить больше времени в отладчике. Фортуна нам сопутствовала и где-то в начале сентября мы выпустили Шилд с запланированным функционалом, так что когда появился tdss, по существу, мы были готовы во все оружии. Теперь можно уверенно сказать, что это уязвимое место закрыто и Шилд стал еще мощнее и продвинутее по функционалу.
Последний раз редактировалось SDA; 13.11.2009 в 13:49.
Причина: Добавлено
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
а не боитесь FS угробить? к примеру ваш драйвер что то пишет на диск, ОС этого не отследит так как драйвер работает напрямую, так что всяко может быть )
или все таки дрова винды используются?
-
Шилд работает ниже. Вынужденно, поскольку новый TDSS заражает драйверы.
-
-
pig
ну так я про то и говорю, ваш Шилд работает напрямую с портами HD , ОС в таком случае в принципе отследить его действия не может.
Вот мне и интересно насколько все это надежно?
-
Я это новьё применял в бою два раза, боролись с конфикером. Зверь убит, система выжила. Другой статистики не имею.
-
-
pig
я это у тому что к примеру
1) наша ОС что то пишет на диск, диск шуршит контролер работает дма трансферит данные
2) тут ваш драйвер ченить командует в 0х80 порт (вроде там у нас первый HD если память не изменяет), конфликт интересов так сказать ))))
3) соответственно получим еггог
-
Один раз из двух диск был SCSI и постоянно молотил. Что с ним зверь делал, я не понял, но тормозило всё по-страшному. Плюс там ещё и работа пыталась идти - прокси работал, почта, их логи велись, хоть и в час по чайной ложке.
-