Un rootkit este un program sau un set de programe prin care un intrus are acces la resursele unui sistem şi poate să îşi ascundă prezenţa pe sistemul infectat. Se pot folosi
două moduri, modificarea firului normal de execuţie a proceselor din cadrul sitemului de operare sau a setului de informaţii folosite de sistemul de operare ca variabile sistem.
Conceptul de rootkit nu este nou, el este folosit de peste 10 ani.
Câteva caracteristici ale unui rootkit: ascunde fişiere şi directoare, permite acces de la distanţă la un sistem. Adică poate reprezenta o problemă de securitate.
Programele de acest tip nu au obligatoriu un caracter răuvoitor şi nu întotdeauna sunt utilizate de persoane rău intenţionate, un rootkit este doar o tehnologie, iar intenţiile în care sunt utilizate depind de cei care le utilizează. De exemplu rootkit-ul creat de firma Sony în anul 2005 cu numele XPC (Extended Copy Protection): pe anumite CD-uri cu muzică ale firmei Sony BMG Music Entertainment s-a folosit tehnologia anticopiere DRM (Digital Restrictions Management), care se instalează pe sistemele cu Windows (la introducerea CD-ului în unitatea optică) ca un rootkit sub numele Essential System Tools.
Unul dintre specialistii firmei Sysinternals confirmă că după o scanare cu Rootkit Revealer şi detectarea acestuia, utilizatorii care şterg fişierele îşi vor bloca sistemele. Dar programul putea fi folosit la răspândirea viruşilor.
TDL4 / Alureon este unul dintre cei mai sofisticati malware(din clasa rootkit) ce exista in prezent. Acesta este capabil sa infecteze un sistem Windows 64 bit fara nicio problema. Se stie ca Windows 64 bit este un pic mai sigur decat “fratiorii” pe 32 bit pentru ca driverele trebuie sa fie semnate digital pentru a putea fi instalate, are activat implicit DEP hardware + alte mecanisme de protectie. Pentru TDL4 nu erau o problema, trecea peste ele ca prin branza.
Luna trecuta, mai exact pe 12 aprilie, Microsoft a lansat un patch ce interfera exact in activitatiile TDL4. Astfel, TDL4 nu se mai putea ascunde asa bine in sistem, fiind teoretic mai usor de descoperit.
Dar se pare ca nu a avut niciun efect. Creatorii sau au scos o versiune noua ce trece peste protectiile Microsoft fara niciun stres.
TDL4 este parte din marea familie rootkit TDSS si a fost practic primul rootkit din istorie capabil sa infecteze un sistem Windows 64 bit.
Rootkit-ul TDL4 nu foloseste drivere obisnuite ca sa interactioneze cu sistemul si sa-si ascunda prezenta. Asta fac rootkit-urile obisnuite pe sistemele 32 bit. TDL4 este diferit. Acesta altereaza in timp real indows Boot Configuration Data (BCD) si astfel poate sa treaca peste mecanismul de verificare a semnaturii digitale din sistemele de operare.
Una din modificarile aduse de update-ul Microsoft KB2506014 a fost schimbarea dimensiunii directorului in care se afla kdcom.dll. Malware-ul verifica dimensiunea si vedea daca trebuie inlocuit sau nu.
http://www.microsoft.com/technet/security/advisory/2506014.mspx
Creatorii TDL4 au avut grija sa schimbe in noua versiune aceasta metoda. Practic au renuntat la verificare si acum altereaza direct rutinele de verificare a semnaturii digitale kdcom.dll in mod direct.
Mai mult, acum este si mai greu de detectat de catre motoarele antivirus pentru ca fura driverul miniport si ataseaza unul personalizat.
Practic se ascunde in multimea de drivere din sistem si nu o sa fie descoperit asa usor de rutinele antirootkit special create pentru TDL4.
Pentru a devirusa un sistem infectat cu TDL4, scanati sistemul cu TDSSkiller:
http://support.kaspersky.com/downloads/utils/tdsskiller.exe
6 Responses to “Noua versiune TDL4 Rootkit trece de protectia Microsoft KB2506014-Devirusare TDL4 / Alureon”
Si… TDL4 cum afecteaza sistemul? adica se instaleaza… si dupa?
E de obicei mascat intr-un trojan. Capata drepturi elevate pe sistem si apoi poate sa instaleze alti malware fara ca userul sa stie. Si de aici porneste un lant de evenimente care includ control de la distanta, descarcare de fisiere, spam, etc
Am inteles, multumesc frumos de lamurire!
Am probleme la pornire Xp; nu imi apar icon-urile pe desktop, bara de jos. Prin ctrl/alt/del reuseam sa dau browse, sa pornesc programele. Antivirusul nimic, antimalware-le nimic… Am dat cu combofix de pe un hiren boot cd si mi-a gasi infectia cu Bootkit TDL4 . L-a rezolvat se pare, deocamdata. O sa incerc si cu TDSSkilller sa vad ce gaseste.
A gasit si TDSSkiller infectia asta! Desi combofix scria ca ii ok. Am dat cure, restart si rescanare , acum ii ok. Trebuia sa adaug utilitarul asta la trusa de ,,scule” ; cred ca si alti prieteni o sa o pateasca, sau poate ca il au si nu isi dau seama. Multumesc
Programele de acest tip nu au obligatoriu un caracter răuvoitor şi nu întotdeauna sunt utilizate de persoane rău intenţionate????????????????????????????????????
super tare !!!!!!!!!!!!!!!!!!!!!