Компания Prevx сообщила о появлении "самого продвинутого" руткита под 64-битную версию операционной системы Windows 7. Ранее данный руткит существовал только в 32-битном варианте, новая версия нацелена на более современные системы. В Prevx говорят, что руткит TDL, также известный как Alureon, может заражать 64-битные Windows 7, обходя расширенные компоненты защиты, изначально как раз и созданные для того, чтобы блокировать различного рода атаки.
Новое программное обеспечение было опубликовано в понедельник GFI Software. Согласно данным этой компании, руткит TDL4 проникает в 64-битные Windows 7, обходя системы ядра Windows, работающие на основе политик подписи исполняемого низкоуровневого кода. То есть, любой код на уровне ядра Windows, работающий в системе, должен иметь соответствующую подпись, говорящую о том, что данный код (чаще всего это драйвер) происходит из надежного источника.
После проникновения в систему, руткит модифицирует главную загрузочную запись на жестком диске компьютера, изменяя условия загрузки ОС. По словам создателей, руткит меняет MBR на диске и устанавливает специальную политику под названием LoadIntegrityCheckPolicy, которая блокирует процесс валидации загружаемых программ и позволяет запускать на уровне ядра другие неподписанные DLL-библиотеки.
Согласно данным компании Prevx, руткит TDL является "самым продвинутым" набором для удаленного управления компьютером. Использовать его можно как бэкдор для инсталляции клавиатурных шпионов и других видов злонамеренного программного обеспечения.
Разработчики говорят, что одна из наиболее продвинутых систем защиты в Windows - это подпись кода, кроме того в 64-битной версии системы используется также и технология PatchGuard, которая блокирует драйверы, пытающиеся заменить собой некоторые важные функции ядра системы Windows. TDL за счет операций с загрузочным сектором обходит оба этих момента.
Более подробная информация о разработке доступна по адресу http://www.prevx.com/blog/155/x-TDL-rootkit--follow-up.html
Источник: CyberSecurity
|
