Показано с 1 по 2 из 2.

TDL4 стал использовать 0-day уязвимость

  1. #1
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,045
    Вес репутации
    1254

    TDL4 стал использовать 0-day уязвимость

    Экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet.

    Использование эксплоита к данной уязвимости позволяет руткиту TDL4 устанавливаться в системе без каких либо сообщений от защитных механизмов UAC, по умолчанию функционирующих во всех современных операционных системах Windows. При запуске троянца в системе, например в Windows 7, процесс получает отфильтрованный маркер (работа UAC), с привилегиями обычного пользователя. В результате чего, попытка внедрится в процесс диспетчера очереди печати завершается с ошибкой (ERROR_ACCESS_DENIED).

    Как сообщается, работы по внедрению в диспетчер очереди печати ведутся и в старых версиях этой вредоносной программы. В новых же модификациях после ошибки идет попытка использования 0-day эксплоита повышения привилегий до "LocalSystem"

    Инсталлятор руткита имеет при себе специальный код для обхода некоторых проактивных защит.

    "С целью препятствовать внедрению в spoolsv руткита TDL4, некоторые проактивные защиты перехватывают в SSDT функцию NtConnectPort и, если имя порта "\RPC Control\spoolss", выдают сообщение о попытке внедрения в диспетчер очереди печати. Разработчики вредоносной программы очень просто решили эту "проблему" - они в своем собственном процессе перехватили ntdll.ZwConnectPort, где в обработчике перехватчика сверяют значение переданного параметра ServerPortName в функцию (UNICODE строка), и, если это "\RPC Control\spoolss", заменяют ее на аналог с использованием символьной ссылки на корневой каталог пространства имен диспетчера объектов", пишет Сергей Голованов, эксперт Лаборатории Касперского.

    securitylab.ru

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,272
    Вес репутации
    172

    Вредоносная программа TDL4 использует ранее неизвестную уязвимость в Windows

    Экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet.Читать далее
    Последний раз редактировалось olejah; 08.12.2010 в 09:46.

Похожие темы

  1. Win32/Olmarik.TDL4
    От Kvenleen в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 06.11.2011, 11:56
  2. win32/olmarik.tdl4
    От GosuUnDeadGhost в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 28.09.2011, 15:25
  3. Помогите избавиться от TDSS.tdl4
    От h00ch в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 18.07.2011, 11:41
  4. TDL4 получил полную поддержку 64-битных операционных систем
    От olejah в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 02.07.2011, 23:29
  5. Обновленный руткит TDL4 обходит новый патч Microsoft
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 06.05.2011, 21:00

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01163 seconds with 19 queries