Показано с 1 по 7 из 7.

Новые разновидности rootkits

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3169

    Новые разновидности rootkits

    На этой неделе, на конференции по информационной безопасности RSA Security 2005 представители Microsoft, Майк Дансеглио (Mike Danseglio) и Курт Диллард (Kurt Dillard) из Security Solutions Group предупредили о новой опасности для пользователей Windows. Исходит она от нового поколения программ, установленных на уровне ядра ОС, которые используют хакеры для мониторинга системы пользователя (т.н. "kernel rootkits"). По мнению представителей MS, их практически невозможно обнаружить современными средствами защиты.

    Эти программы потенциально могут быть использованы для создания нового поколения программ-шпионов (spyware) и "червей", утверждают эксперты.

    Программы для удаленного мониторинга системы существуют уже давно, последнее поколение таких приложений, созданных злоумышленниками, носят названия "Hacker Defender", "FU", "Vanquish" и др. Хакеры используют их для контроля системы, проведения атаки или передачи информации с пораженного компьютера. Как правило, эти приложения устанавливаются на ПК пользователя без его ведома (при помощи вируса или хакерской атаки).

    Эти программы выполняются в "фоновом" режиме, а найти их можно в списке запущенных процессов пораженной системы, или при тщательном мониторинге исходящего трафика.

    Новые разновидности rootkits в большинстве способны перехватывать запросы и системные вызовы, которые передаются ядру ОС и отфильтровывать те, что были сгенерированы самой вредоносной программой. В результате типичные признаки запущенного приложения (имя исполнимого файла, именованный процесс) невидимы для администраторов и антивирусных программ.

    По словам Динсеглио, единственный надежный способ удалить такую программу – отформатировать жесткий диск и заново установить операционную систему.

    "Rootkits" существуют далеко не только для ОС Windows.

    Источник: gazeta.ru

    Интересно новый АВЗ будет отлавливать такие "Rootkits

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    62

    Re:Новые разновидности rootkits

    Здесь о rootkit-ах можно почитать по подробнее, в том числе и о "новейших".

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    743

    Re:Новые разновидности rootkits

    Цитата Сообщение от Minos
    Здесь о rootkit-ах можно почитать по подробнее, в том числе и о "новейших".
    А здесь можно на них и посмотреть, в том числе и на новейшие .

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390

    Re:Новые разновидности rootkits

    Цитата Сообщение от SDA
    Интересно новый АВЗ будет отлавливать такие "Rootkits
    AVZ бессилен против руткитов Ring0. Вернее сказать, детектировать их он в скором времени будет, а вот блокировать скорее всего нет ... Тут фокус вот в чем - методика восстановления SDT в NT есть, но она оказывает глобальное воздействие на систему и экспериментальная версия AVZ на тестах "полечила" систему, отрубив антивирусный монитор, большую часть Firewall и Process Guard Причем корректно отрубив ... ведь AVZ не понятно, что это такое - руткит или антивирус.
    Но по моему разумению руткиты Ring0 в вирусе или трояне - это несколько фантастично, скорее всего распространение получат клоны HackerDefender - они просты в реализации и весьма эффективны. Вот их AVZ давит легко и корректно, что проверено как HackerDefender, так и на его "потомках". И опасности в "лечении" нет - борьба с таким руткитом идет в рамках контекста AVZ, в худшем случае дело закончится его зависанием.
    Кстати, новый AVZ реализует новую методику борьбы с руткитами, основанными на подмене адреса функции (такие руткиты прекрасно работают в Win9 - он делает себе "прививку", модифицируя собственный программный код для обхода перехватчиков руткита

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3169

    Re:Новые разновидности rootkits

    Спасибо Олег! Как всегда твой ответ полный и ясный. Когда примерно ждать выхода релиза АВЗ? Очень ждем!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3169

    Re:Новые разновидности rootkits





    В дополнение привожу отрывок из статьи "Windows под прицелом"


    Как и в деле создания rootkits, так и в деле борьбы с ними есть свои лидеры. Признанной руткитоборкой первой степени является Joanna Rutkowska, чей новый сервер http://www.invisiblethings.org я настоятельно советую посетить. Её перу принадлежат такие утилиты как Patchfinder и Klister. Первая из них направлена на обнаружения rootkit, модифицирующих пути исполнения, в кто время как Klister помогает обнаруживать DKOM KLT.

    Утилита Patchfinder [5] использует оригинальную идею измерения количества инструкций процессора необходимых для выполнения тех или иных операций в нормальном режиме и сравнения этих результатов с текущими показателями системы.

    Для определения количества инструкций процессор переводится в пошаговый режим (single stepping mode), в котором при выполнении каждой инструкции вызывается отладочная исключительная ситуация. Количество таких вызовов подсчитывается и сохраняется.

    В случае если в системе установлен rootkit, количество инструкций процессора, затрачиваемое на выполнение той или иной функции API увеличится. Разница обуславливается тем, что дополнительно будет обрабатываться код, дописанный rootkit в функцию.

    Утилита Klister [15], направлена на обнаружение DKOM KLT и позволяет получать список всех процессов в системе, используя прямой доступ к памяти ядра.

    Ещё один интересный и развивающийся проект, это RKDetector, не путать с RKDetect [16]. В ближайшее время автор планирует встроить в него собственный драйвер файловой системы для обнаружения «спрятанных» файлов.

    Для обнаружения различных rootkits, использующих метод модификации пути исполнения можно воспользоваться утилитой VICE [17]. Перед её использованием настоятельно советую ознакомиться с документацией, что бы не запутаться в «ложных срабатываниях».

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390

    Re:Новые разновидности rootkits

    Цитата Сообщение от SDA
    Спасибо Олег! Как всегда твой ответ полный и ясный. Когда примерно ждать выхода релиза АВЗ? Очень ждем!
    Завтра примерно к обеду. Я хотел выпустить релиз сегодня к вечеру, но нужно как следует протестировать все новшества. Да и базы проверить нужно - я внес около 700 новых сигнатур зверей, около 20000 цифровых подписей (позволяющих AVZ узнавать системные и заведомо безопасные файлы в любой версии Windows), новый антируткит и нейросеть для отлова кейлоггеров ....

Похожие темы

  1. Версия Dr.Web 6.0: новые возможности, новые компоненты, новые продукты
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 15.03.2010, 22:07
  2. Подозрение на ROOTKITS
    От misha58 в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 23.02.2010, 12:57
  3. Ответов: 10
    Последнее сообщение: 02.04.2009, 20:08
  4. No harddrive for rootkits!
    От Simple10 в разделе Computer security
    Ответов: 3
    Последнее сообщение: 22.02.2008, 04:48

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01084 seconds with 16 queries