BackDoor.Tdss.565

[SDA]

BackDoor.Tdss.565 представляет собой новую модификацию троянской программы-бэкдора, которая обеспечивает киберпреступникам полный контроль над зараженным компьютером. Уникальной особенностью BackDoor.Tdss.565 являются руткит-технологии, которые используются им для скрытия своего присутствия в системе.
подробное описание вредоноса:
http://www.drweb.com/static/BackDoor...%20TDL3%29.pdf

Добавлено через 3 часа 52 минуты

В продожение к описанию вредоноса, хотел добавить комментарии специалиста «Доктор Веб» о компоненте Shield антивируса Dr.Web., который теперь лечит такие руткиты. Взято с форума Dr.Web.

..Что такое вообще Шилд и как его использует антивирус? Шилд есть специальный драйвер, который запускается вместе со сканером и служит прослойкой между сканером и внутренним миром Windows. Т. е. сканер вместо обращений к ядру Windows, использует для этого Шилд, который используя низкоуровневые механизмы работы с памятью, процессами, потоками, дисками предоставляет сканеру доверенные данные. Особенность поведения Шилда заключается в том, что он старается не воздействовать на ОС, т. е. не ведет себя как антируткит, а если и восстанавливает какие-то перехваты, то там, где без этого невозможно обойтись, а таких мест очень мало.

Когда ко мне в руки перешел проект Шилда (это случилось в декабре прошлого года и для меня это было большой неожиданностью; мало кому удается поработать в проектах по разработке антируткитов, а уж поработать в таком проекте как Шилд тем более; это очень и очень здорово), он уже был полнофункциональным и мощным слоем, защищающим сканер от зараженной системы. И все же в нем было одно уязвимое, в смысле функционала, место. Это ввод-вывод на внешние устройства, т. е. низкоуровневая работа с жесткими дисками и файловыми системами. Конечно, вектор направления здесь задают больше руткиты, они показывают Шилду в какую сторону нужно развиваться и что нужно дорабатывать в концептуальном плане. Нет руткитов, нет и функционала.

Примерно в марте у нас зародилась идея о том, что нужно допиливать этот функционал, иначе мы останемся беззащитными перед такой угрозой, которая проявилась как новый tdss. Мы планировали разработать низкоуровневую подсистему работы с FS FAT32 и NTFS и чтобы ввод-вывод по возможности происходил на самом низком уровне, через драйверы портов жесткого диска. Тогда мы представить не могли с какими трудностями столкнемся при ее написании, официальной документации о ее внутреннем устройстве не было, так что приходилось ориентироваться на неофициальные источники и проводить больше времени в отладчике. Фортуна нам сопутствовала и где-то в начале сентября мы выпустили Шилд с запланированным функционалом, так что когда появился tdss, по существу, мы были готовы во все оружии. Теперь можно уверенно сказать, что это уязвимое место закрыто и Шилд стал еще мощнее и продвинутее по функционалу.

[[500mhz]]

а не боитесь FS угробить? к примеру ваш драйвер что то пишет на диск, ОС этого не отследит так как драйвер работает напрямую, так что всяко может быть )
или все таки дрова винды используются?

[pig]

Шилд работает ниже. Вынужденно, поскольку новый TDSS заражает драйверы.

[[500mhz]]

pig
ну так я про то и говорю, ваш Шилд работает напрямую с портами HD , ОС в таком случае в принципе отследить его действия не может.
Вот мне и интересно насколько все это надежно?

[pig]

Я это новьё применял в бою два раза, боролись с конфикером. Зверь убит, система выжила. Другой статистики не имею.

[[500mhz]]

pig
я это у тому что к примеру
1) наша ОС что то пишет на диск, диск шуршит контролер работает дма трансферит данные
2) тут ваш драйвер ченить командует в 0х80 порт (вроде там у нас первый HD если память не изменяет), конфликт интересов так сказать ))))
3) соответственно получим еггог

[pig]

Один раз из двух диск был SCSI и постоянно молотил. Что с ним зверь делал, я не понял, но тормозило всё по-страшному. Плюс там ещё и работа пыталась идти - прокси работал, почта, их логи велись, хоть и в час по чайной ложке.