-
Новый руткит загружается быстрее ОС
15:21, 10.01.2008
Новый руткит загружается быстрее ОС
Специалисты из компании Symantec объявили об обнаружении нового вида руткита – вредоносное ПО может изменить загрузочный сектор главного жесткого диска ПК. Новая вредоносная программа создана для системы Windows.
Эксперты отмечают, что новый вирус принципиально отличается от всех известных и не определяется антивирусными программами. Это совершенно новый руткит.
Программа изменяет данные главного загрузочного сектора (master boot record). Здесь хранится информация об операционной системе, которая запускается после тестирования BIOS.
Оливер Фридрих (Oliver Friedrich), руководитель антивирусного подразделения Symantec, отмечает особенность нового вируса: «Обычно руткиты устанавливаются как драйверы – так же как и другое ПО. Они загружаются вместе с ОС, но этот руткит производит загрузку раньше операционной системы. Этот новый метод атаки позволяет взять полный контроль над ПК жертвы».
По сообщениям SANS, новый вирус появился в декабре 2007 г. и им заражены несколько тысяч компьютеров. Также найдены несколько сайтов, посредством которых производится распространение нового вредоносного ПО.
Эксперты сообщают, что пока руткит угрожает только пользователям системы Windows XP. Те, кто установил на свой ПК Windows Vista, могут не беспокоиться, по крайней мере, в данный момент.
Источник
Microsoft Most Valuable Professional in Consumer Security
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
akoK
Программа изменяет данные главного загрузочного сектора (master boot record). Здесь хранится информация об операционной системе, которая запускается после тестирования BIOS.
О как... Кто б мог подумать...
Сообщение от
akoK
«...но этот руткит производит загрузку раньше операционной системы. Этот новый метод атаки позволяет взять полный контроль над ПК жертвы».
И что же он делает до загрузки оси?
Сообщение от
akoK
Эксперты сообщают, что пока руткит угрожает только пользователям системы Windows XP. Те, кто установил на свой ПК Windows Vista, могут не беспокоиться, по крайней мере, в данный момент.
А! Вот в чем дело!
-
Это страшное сообщение ставьте Висту иначе вас поразит страшный вирус
Виталик будет счастлив...
Microsoft Most Valuable Professional in Consumer Security
-
Сообщение от
akoK
Это страшное сообщение ставьте Висту иначе вас поразит страшный вирус
Не иначе!
-
Сообщение от
borka
И что же он делает до загрузки оси?
Вероятно, то же, что и классические руткиты - перехватывая все низкоуровневые функции, скрывает свое присутствие на компьютере.
-
-
Сообщение от
DVi
Вероятно, то же, что и классические руткиты - перехватывая все низкоуровневые функции, скрывает свое присутствие на компьютере.
Какие низкоуровневые функции?
-
Операционная система запускается под управлением руткита.
-
-
-
-
Сообщение от
RobinFood
Сюда нет доступа, а за гмера спасибо.
-
http://www2.gmer.net/mbr/ за это спасибо...
Но вам не кажется, что адудитория которая ничего не понимает по анлийски долна знать?
Microsoft Most Valuable Professional in Consumer Security
-
Сообщение от
borka
Какие низкоуровневые функции?
Технология известна уже несколько лет. Если "объяснять на пальцах" для широкой аудитории, то запустившись из MBR руткит оказывается в интересном положении - он запустился до операционки (и антивирусов), но чтобы безобразничать, ему нужно в нее внедриться. Типовой путь (и наиболее простой) - это перехватить прерывание int 13h (отвечающее за чтение/запись диска на посекторном уровне). Это не даст контроля над операционкой, но зато позволит отслеживать загрузку данных с диска на уровне чтения секторов. Далее можно просканировать считываемые данные (после системного обработчика int 13h они записываются в буфер), и поймать по сигнатуре что-то, что интересует руткита (ядреные компоненты, например). Это дает возможность пропатчить их на лету. Что получается в результате? А получается следующая картина - на диске правильное ядро, а в памяти - уже патченное. Возможность патча дает возможность осуществить слайсинг кода и перехватить что-то в ядре, например функцию инициализации - в результате после загрузки ядреных компонент троянский код получит управление. По указанным ссылкам собственно все это подробно расписано ... Для того, чтобы дроппер записался в сектора на диске, требуется права администратора. Если их нет, то руткит не сможет работать.
Еще пара слов про MBR для тех, кто не знаком с тонкостями процесса загрузки... загрузка системы с диска предполагает следующие этапы:
1. BIOS читает MBR - это самый первый сектор диска. В MBR имеется три значимых вещи:
1.1 Загрузчик. Это небольшой программный код, расположенный в начале сектора
1.2 Таблица разделов. Содержит данные о 4-х разделах, причем у каждого раздела есть признак "загрузочный"
1.3 сигнатура в хвосте сектора, позволяющая понять, что это именно MBR, а не пустой сектор
Считав MBR по строго определенному адресу памяти BIOS отдает ему управление. Загрузчик в простейшем случае сканирует таблицу разделов, и находит раздел с признаком загрузочный и начинает загрузку с него
2. Загрузка с того или иного раздела предполагает загрузку бут сектора раздела, координаты начала раздела есть в таблице разделов, и передачу ему управления.
Следовательно, для внедрения в цикл загрузки нужно или перекрыть код текущего загрузчика в MBR, или в Boot секторе. При этом зловреду придется сохранить где-то исходное содержимое сектора для того, чтобы продолжить загрузку ...
Последний раз редактировалось Зайцев Олег; 11.01.2008 в 16:45.
-
-
Сообщение от
Зайцев Олег
Технология известна уже несколько лет. Запустившись, руткит оказывается в интересном положении - он запустился до операционки, но чтобы безобразничать, ему нужно в нее внедриться. Типовой путь (наиболе простой) - это перехватить прерывание int 13h. Это не даст контроля над операционкой, но зато позволит отслеживать загрузку данных с диска на уровне чтения секторов. Далее можно посканировать считываемые данные и поймать по сигнатуре что-то, что интересует руткита (ядреные компоненты например). И пропатчить их на лету. Что получается в резульатте ? А получается слудующая картина - на диске правильное ядро, а в памяти - уже патченное. Возможность патча дает возможность осуществить слайсинг кода и перехватить что-то в ядре, например функцию инициализации. По указанным ссылка все это подробно расписано
Спасибо, я ужЕ прочитал у гмера.
Единственное, что не понял - загрузка происходит в реальном режиме, а как руткит выживает после переключения в защищенный режим? Поскольку ядру, после переключения в защищенный режим, ужЕ до лампочки биосовский int 13h. Значит, он должен пропатчить файлы ядра на диске? Сколько ж тогда весит ЭТО?
-
Сообщение от
borka
Спасибо, я ужЕ прочитал у гмера.
Единственное, что не понял - загрузка происходит в реальном режиме, а как руткит выживает после переключения в защищенный режим? Поскольку ядру, после переключения в защищенный режим, ужЕ до лампочки биосовский int 13h. Значит, он должен пропатчить файлы ядра на диске?
Сколько ж тогда весит ЭТО?
См. выше, я там все описал. Загрузка первых ядреных компонент производится через int 13, именно они и патчатся. А когда int 13 станет неактуально, то пропатченный код будет уже в памяти и получит управление ... ничего сложного там нет
-
-
Сообщение от
Зайцев Олег
См. выше, я там все описал. Загрузка первых ядреных компонент производится через int 13, именно они и патчатся. А когда int 13 станет неактуально, то пропатченный код будет уже в памяти и получит управление ... ничего сложного там нет
Прикольно... Совмещают технологии ДОСвских вирусов и соверменных руткитов
Left home for a few days and look what happens...
-
-
Сообщение от
Зайцев Олег
См. выше, я там все описал. Загрузка первых ядреных компонент производится через int 13, именно они и патчатся. А когда int 13 станет неактуально, то пропатченный код будет уже в памяти и получит управление
Ага! То есть патчится то, что будет работать потом...
Сообщение от
Зайцев Олег
ничего сложного там нет
А почему тогда этот метод не получил широкого распространения?
-
Сообщение от
borka
Ага! То есть патчится то, что будет работать потом...
А почему тогда этот метод не получил широкого распространения?
А не получил распространения, так как метод корявый, ему нужны права админа, в случае применения хитрых бут-менеджеров можно убить систему (где гарантия, что занимаемые зверем сектора ничего не хранят ?!). Подобный метод не нов - в свое время во времена MSDOS я ловил и убивал сотни таких зверей, тогда технологии загрузки зловредного кода из бут сектора или MBR были популярны. И легитимные утилиты такими вещами баловались - размещали свои загрузчики в бут-секторах для загрузки до операционки (бут-менеджеры этим до сих пор балуются). Еще один минус - сигнатурный патч кода ...
Меня вообще удивляет, зачем многим зверям руткит-маскировка - зачастую именно из-за руткита их и находят (тормоза, глюки, BSOD - начинают скать причину). А по статистики все прсото - если юзер не обладает должными знаниями, то он даже процесс super_trojan.exe не заметит ... более продвинутый не заметит службу, драйвер, какое-нибудь хитрое расширение проводника. И никакие супер-пупер маскировки не нужны... А грамотный пользователь от всего этого и не пострадает (так как работает из под ограниченной учетной записи, где все руткитные штучки не проходят).
-
-
Сообщение от
Зайцев Олег
А не получил распространения, так как метод корявый, ему нужны права админа, в случае применения хитрых бут-менеджеров можно убить систему (где гарантия, что занимаемые зверем сектора ничего не хранят ?!).
Мне кажется, что это не проблема - первое практически всегда есть, а второе на текущий момент не особо актуально.
Сообщение от
Зайцев Олег
Еще один минус - сигнатурный патч кода ...
Ну это можно говорить про заточенность под конкретную ось.
Сообщение от
Зайцев Олег
Меня вообще удивляет, зачем многим зверям руткит-маскировка - зачастую именно из-за руткита их и находят
Так находят профессионалы. Сэмпл получают аверы, и совершенно простой юзер даже с админовскими правами получает защиту от своего антивируса в виде сигнатур. И уверенность в том, что этот вирь на комп не сядет.
А может, самореализация. НаписАть хороший необнаруживаемый руткит доступно немногим.
-
Олег, расскажите пожалуйста про обнаружение и лечение.
-
-
*.sys объект можно смело дизасэмблировать, дабы узнать что он скрывает
>Меня вообще удивляет, зачем многим зверям руткит-маскировка
Ну а к чему прибегать ? заражение ? инжект dll ?
-
интересно а винда что запись в MBR разрешает? что то я не замечал такого