Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 44.

Новый руткит загружается быстрее ОС

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56

    Post Новый руткит загружается быстрее ОС

    15:21, 10.01.2008

    Новый руткит загружается быстрее ОС


    Специалисты из компании Symantec объявили об обнаружении нового вида руткита – вредоносное ПО может изменить загрузочный сектор главного жесткого диска ПК. Новая вредоносная программа создана для системы Windows.

    Эксперты отмечают, что новый вирус принципиально отличается от всех известных и не определяется антивирусными программами. Это совершенно новый руткит.

    Программа изменяет данные главного загрузочного сектора (master boot record). Здесь хранится информация об операционной системе, которая запускается после тестирования BIOS.

    Оливер Фридрих (Oliver Friedrich), руководитель антивирусного подразделения Symantec, отмечает особенность нового вируса: «Обычно руткиты устанавливаются как драйверы – так же как и другое ПО. Они загружаются вместе с ОС, но этот руткит производит загрузку раньше операционной системы. Этот новый метод атаки позволяет взять полный контроль над ПК жертвы».

    По сообщениям SANS, новый вирус появился в декабре 2007 г. и им заражены несколько тысяч компьютеров. Также найдены несколько сайтов, посредством которых производится распространение нового вредоносного ПО.

    Эксперты сообщают, что пока руткит угрожает только пользователям системы Windows XP. Те, кто установил на свой ПК Windows Vista, могут не беспокоиться, по крайней мере, в данный момент.

    Источник
    Microsoft Most Valuable Professional in Consumer Security

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    799
    Цитата Сообщение от akoK Посмотреть сообщение
    Программа изменяет данные главного загрузочного сектора (master boot record). Здесь хранится информация об операционной системе, которая запускается после тестирования BIOS.
    О как... Кто б мог подумать...

    Цитата Сообщение от akoK Посмотреть сообщение
    «...но этот руткит производит загрузку раньше операционной системы. Этот новый метод атаки позволяет взять полный контроль над ПК жертвы».
    И что же он делает до загрузки оси?

    Цитата Сообщение от akoK Посмотреть сообщение
    Эксперты сообщают, что пока руткит угрожает только пользователям системы Windows XP. Те, кто установил на свой ПК Windows Vista, могут не беспокоиться, по крайней мере, в данный момент.
    А! Вот в чем дело!
    ---
    С уважением,
    Borka.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    Это страшное сообщение ставьте Висту иначе вас поразит страшный вирус
    Виталик будет счастлив...
    Microsoft Most Valuable Professional in Consumer Security

  5. #4
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    799
    Цитата Сообщение от akoK Посмотреть сообщение
    Это страшное сообщение ставьте Висту иначе вас поразит страшный вирус
    Не иначе!
    ---
    С уважением,
    Borka.

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2154
    Цитата Сообщение от borka Посмотреть сообщение
    И что же он делает до загрузки оси?
    Вероятно, то же, что и классические руткиты - перехватывая все низкоуровневые функции, скрывает свое присутствие на компьютере.

  7. #6
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    799
    Цитата Сообщение от DVi Посмотреть сообщение
    Вероятно, то же, что и классические руткиты - перехватывая все низкоуровневые функции, скрывает свое присутствие на компьютере.
    Какие низкоуровневые функции?
    ---
    С уважением,
    Borka.

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2154
    Операционная система запускается под управлением руткита.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    53

  10. #9
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    799
    Цитата Сообщение от RobinFood Посмотреть сообщение
    Народ, вы чего? Обсуждали же уже...
    http://virusinfo.info/showthread.php?t=16028
    Сюда нет доступа, а за гмера спасибо.
    ---
    С уважением,
    Borka.

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    56
    http://www2.gmer.net/mbr/ за это спасибо...
    Но вам не кажется, что адудитория которая ничего не понимает по анлийски долна знать?
    Microsoft Most Valuable Professional in Consumer Security

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390
    Цитата Сообщение от borka Посмотреть сообщение
    Какие низкоуровневые функции?
    Технология известна уже несколько лет. Если "объяснять на пальцах" для широкой аудитории, то запустившись из MBR руткит оказывается в интересном положении - он запустился до операционки (и антивирусов), но чтобы безобразничать, ему нужно в нее внедриться. Типовой путь (и наиболее простой) - это перехватить прерывание int 13h (отвечающее за чтение/запись диска на посекторном уровне). Это не даст контроля над операционкой, но зато позволит отслеживать загрузку данных с диска на уровне чтения секторов. Далее можно просканировать считываемые данные (после системного обработчика int 13h они записываются в буфер), и поймать по сигнатуре что-то, что интересует руткита (ядреные компоненты, например). Это дает возможность пропатчить их на лету. Что получается в результате? А получается следующая картина - на диске правильное ядро, а в памяти - уже патченное. Возможность патча дает возможность осуществить слайсинг кода и перехватить что-то в ядре, например функцию инициализации - в результате после загрузки ядреных компонент троянский код получит управление. По указанным ссылкам собственно все это подробно расписано ... Для того, чтобы дроппер записался в сектора на диске, требуется права администратора. Если их нет, то руткит не сможет работать.
    Еще пара слов про MBR для тех, кто не знаком с тонкостями процесса загрузки... загрузка системы с диска предполагает следующие этапы:
    1. BIOS читает MBR - это самый первый сектор диска. В MBR имеется три значимых вещи:
    1.1 Загрузчик. Это небольшой программный код, расположенный в начале сектора
    1.2 Таблица разделов. Содержит данные о 4-х разделах, причем у каждого раздела есть признак "загрузочный"
    1.3 сигнатура в хвосте сектора, позволяющая понять, что это именно MBR, а не пустой сектор
    Считав MBR по строго определенному адресу памяти BIOS отдает ему управление. Загрузчик в простейшем случае сканирует таблицу разделов, и находит раздел с признаком загрузочный и начинает загрузку с него
    2. Загрузка с того или иного раздела предполагает загрузку бут сектора раздела, координаты начала раздела есть в таблице разделов, и передачу ему управления.
    Следовательно, для внедрения в цикл загрузки нужно или перекрыть код текущего загрузчика в MBR, или в Boot секторе. При этом зловреду придется сохранить где-то исходное содержимое сектора для того, чтобы продолжить загрузку ...
    Последний раз редактировалось Зайцев Олег; 11.01.2008 в 16:45.

  13. #12
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    799
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Технология известна уже несколько лет. Запустившись, руткит оказывается в интересном положении - он запустился до операционки, но чтобы безобразничать, ему нужно в нее внедриться. Типовой путь (наиболе простой) - это перехватить прерывание int 13h. Это не даст контроля над операционкой, но зато позволит отслеживать загрузку данных с диска на уровне чтения секторов. Далее можно посканировать считываемые данные и поймать по сигнатуре что-то, что интересует руткита (ядреные компоненты например). И пропатчить их на лету. Что получается в резульатте ? А получается слудующая картина - на диске правильное ядро, а в памяти - уже патченное. Возможность патча дает возможность осуществить слайсинг кода и перехватить что-то в ядре, например функцию инициализации. По указанным ссылка все это подробно расписано
    Спасибо, я ужЕ прочитал у гмера.
    Единственное, что не понял - загрузка происходит в реальном режиме, а как руткит выживает после переключения в защищенный режим? Поскольку ядру, после переключения в защищенный режим, ужЕ до лампочки биосовский int 13h. Значит, он должен пропатчить файлы ядра на диске? Сколько ж тогда весит ЭТО?
    ---
    С уважением,
    Borka.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390
    Цитата Сообщение от borka Посмотреть сообщение
    Спасибо, я ужЕ прочитал у гмера.
    Единственное, что не понял - загрузка происходит в реальном режиме, а как руткит выживает после переключения в защищенный режим? Поскольку ядру, после переключения в защищенный режим, ужЕ до лампочки биосовский int 13h. Значит, он должен пропатчить файлы ядра на диске? Сколько ж тогда весит ЭТО?
    См. выше, я там все описал. Загрузка первых ядреных компонент производится через int 13, именно они и патчатся. А когда int 13 станет неактуально, то пропатченный код будет уже в памяти и получит управление ... ничего сложного там нет

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3711
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    См. выше, я там все описал. Загрузка первых ядреных компонент производится через int 13, именно они и патчатся. А когда int 13 станет неактуально, то пропатченный код будет уже в памяти и получит управление ... ничего сложного там нет
    Прикольно... Совмещают технологии ДОСвских вирусов и соверменных руткитов
    Left home for a few days and look what happens...

  16. #15
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    799
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    См. выше, я там все описал. Загрузка первых ядреных компонент производится через int 13, именно они и патчатся. А когда int 13 станет неактуально, то пропатченный код будет уже в памяти и получит управление
    Ага! То есть патчится то, что будет работать потом...

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    ничего сложного там нет
    А почему тогда этот метод не получил широкого распространения?
    ---
    С уважением,
    Borka.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390
    Цитата Сообщение от borka Посмотреть сообщение
    Ага! То есть патчится то, что будет работать потом...


    А почему тогда этот метод не получил широкого распространения?
    А не получил распространения, так как метод корявый, ему нужны права админа, в случае применения хитрых бут-менеджеров можно убить систему (где гарантия, что занимаемые зверем сектора ничего не хранят ?!). Подобный метод не нов - в свое время во времена MSDOS я ловил и убивал сотни таких зверей, тогда технологии загрузки зловредного кода из бут сектора или MBR были популярны. И легитимные утилиты такими вещами баловались - размещали свои загрузчики в бут-секторах для загрузки до операционки (бут-менеджеры этим до сих пор балуются). Еще один минус - сигнатурный патч кода ...
    Меня вообще удивляет, зачем многим зверям руткит-маскировка - зачастую именно из-за руткита их и находят (тормоза, глюки, BSOD - начинают скать причину). А по статистики все прсото - если юзер не обладает должными знаниями, то он даже процесс super_trojan.exe не заметит ... более продвинутый не заметит службу, драйвер, какое-нибудь хитрое расширение проводника. И никакие супер-пупер маскировки не нужны... А грамотный пользователь от всего этого и не пострадает (так как работает из под ограниченной учетной записи, где все руткитные штучки не проходят).

  18. #17
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    799
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    А не получил распространения, так как метод корявый, ему нужны права админа, в случае применения хитрых бут-менеджеров можно убить систему (где гарантия, что занимаемые зверем сектора ничего не хранят ?!).
    Мне кажется, что это не проблема - первое практически всегда есть, а второе на текущий момент не особо актуально.

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Еще один минус - сигнатурный патч кода ...
    Ну это можно говорить про заточенность под конкретную ось.

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Меня вообще удивляет, зачем многим зверям руткит-маскировка - зачастую именно из-за руткита их и находят
    Так находят профессионалы. Сэмпл получают аверы, и совершенно простой юзер даже с админовскими правами получает защиту от своего антивируса в виде сигнатур. И уверенность в том, что этот вирь на комп не сядет.
    А может, самореализация. НаписАть хороший необнаруживаемый руткит доступно немногим.
    ---
    С уважением,
    Borka.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1698
    Олег, расскажите пожалуйста про обнаружение и лечение.

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.01.2008
    Сообщений
    7
    Вес репутации
    234
    *.sys объект можно смело дизасэмблировать, дабы узнать что он скрывает
    >Меня вообще удивляет, зачем многим зверям руткит-маскировка
    Ну а к чему прибегать ? заражение ? инжект dll ?

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    122
    интересно а винда что запись в MBR разрешает? что то я не замечал такого

Страница 1 из 3 123 Последняя

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 24.03.2010, 11:38
  2. руткит новый
    От koot в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 06.05.2009, 23:50
  3. Ответов: 1
    Последнее сообщение: 03.02.2009, 15:34
  4. Руткит - ОС загружается 25 минут
    От eifory в разделе Помогите!
    Ответов: 0
    Последнее сообщение: 15.01.2009, 01:01
  5. НОВЫЙ РУТКИТ???
    От iun321 в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 18.04.2008, 21:33

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01558 seconds with 16 queries