Strona główna > Newsy > 64-bitowy Windows 7 bezbronny wobec rootkitu TDL

"64-bitowy Windows 7 bezbronny wobec rootkitu TDL".

2010-11-17

Windows 7 w wersji 64-bitowej posiada dwa ważne zabezpieczenia. Jedno pozwala zainstalować na maszynie tylko sterowniki podpisane cyfrowo. A drugie znane jako PatchGuard chroni wrażliwe części jądra systemu przed ingerencją z zewnątrz.

Okazuje się jednak, że te zabezpieczenia nowej generacji są niczym dla ? zdawałoby się ? dobrze znanego od lat złośliwego oprogramowania, które szkodziło wcześniej użytkownikom 32-bitowego Windows.

Jak odkryli badacze bezpieczeństwa z firmy Prevx, rootkit TDL potrafi spenetrować bezproblemowo nowe mechanizmy obronne Microsoftu.

Jak tego dokonuje? Według Chandry Prakash z GFI Technical Fellow, ?zmienia ustawienie konfiguracyjne na niski poziom weryfikacji, co pozwala na uruchomienie każdego niepodpisanego złośliwego kodu?.

Nie brzmi to skomplikowanie. Kiedy chcesz wprowadzić do systemu złośliwe oprogramowanie wystarczy, że wyłączysz zabezpieczenia Windows, nad którymi notabene Microsoft pracował parę dobrych lat.

Również ochrona kluczowych części systemu nie stanowi problemu dla złośliwego oprogramowania korzystającego z instrukcji niskopoziomowych. Zmienia on rekordy startowe MBR tak, że może wpływać na proces uruchamiania się systemu, przechwytując procedury startowe Windows.

TDL jest zdaniem ekspertów obecnie najbardziej zaawansowanym rootkitem, jaki udało się wykryć. Wykorzystuje się go do tworzenia furtek pozwalających na instalację i aktualizację keyloggerów i innych typów szkodników. Rootkit potrafi też wyłączyć debuggery używane przez badaczy i jest praktycznie nie do wykrycia przez powszechnie używane oprogramowanie antywirusowe.

Szczegóły odkrycia badaczy z firmy Prevx można znaleźć na stronie sunbeltblog.blogspot.com/2010/11/how-tld4-rootkit-gets-around-driver.html.

źródło: theregister.co.uk