28 Aug 2010


Разделы: безопасность патчи

Новая версия вредоносной программы, что портит Windows ПК с февраля прошлого года и решалась патчем, предназначенным для блокирования руткитов, теперь захватывает управление ПК под управлением 64-разрядных версий Windows, сказали исследователи в четверг.

"Пришла новая эра x64 руткитов," сказал исследователь Марко Prevx Джулиани в блоге своей компании вчера.



Обновленный руткит, который идет по именам Alureon, TDL и Tidserv, способен инфицировать 64-разрядные Windows-ПК. "TLD3 можно рассматривать как первый x64-совместимый с ядром руткит-инфекция посвоей природе", сказал Джулиани.

Оба Prevx и Symantec обнаружили доказательства того, что хакеры активно используют руткиты.

"Инфекция распространяется через Интернет, используя как порно сайты и использовать наборы", сказал Джулиани, который добавил, что британская Prevx впервые увидел новый руткит более недели назад. первый прицельный Symantec была среда.

Предыдущая версия этого руткита вызвало серьезные проблемы в начале этого года после обновления Microsoft безопасности разбился 32-разрядной Windows машин.

В течение нескольких часов 9 февраля 2010, выпуск обновления для системы безопасности MS10-015, пользователи сообщили, что их компьютеры не будет перезагрузить. Два дня спустя, Microsoft остановить автоматическое распределение обновление и начали расследование.

MS10-015 прошили 17-летний ядра Windows ошибка, которая была публично представлена в январе 2010 по безопасности Google инженер Tavis Ormandy.

Microsoft позже к выводу, что единственный ПК уже заражены руткитом он призвал Alureon были недееспособными в синий экран смерти (BSOD) ошибок. Она не перезагрузить распределения MS10-015 до начала марта, когда он добавил код для блокировки установки руткитов, когда инфекция была обнаружена. Последующие патчи ядра включили в тот же обнаружения.

В BSOD шумиха, на тот момент Alureon удалось успешно заразить только 32-битные версии Windows. Это ограничение не применяется.

Новый руткит обходит два важных анти-руткит защиту Microsoft построен в 64-разрядной Windows, Kernel Mode кодекса Подписание и установки соответствующих обновлений ядра защиты, также известный как PatchGuard. Пара которые призваны сделать более трудным для вредоносных программ вмешиваться в ядро операционной системы.

"Чтобы обойти обновлений ядра защиты и проверки подписи драйверов, руткит исправления основную загрузочную запись жесткого диска, запись, чтобы он мог перехватить Windows 'запуска процедуры, собственное, и загрузить его водитель", сказал Джулиани.

Руткиты, что переписать мастера жесткого диска, загрузочную запись (MBR), где хранится код для загрузки операционной системы после BIOS компьютера делает ее запуска проверок, в основном невидимым для операционной системы и обеспечения безопасности.

"Основные компоненты Tidserv хранятся в неиспользуемого пространства в конце жестком диске в зашифрованном виде", сказал Symantec исследователей к сведению четверг на блог по безопасности ответ компании. "Это делает его более сложным для обнаружения и удаления раз компьютер заражен вирусом."

Оба Prevx и Symantec говорит, что они по-прежнему анализа 64-битных руткит, и будет публиковать больше информации, когда они пропали.

Грегг Кейзер охватывает Microsoft, вопросы безопасности, Apple, веб-браузеры и общие технологии новостей за Computerworld. Последующие Грегг по щебетать на @ gkeizer, или подписаться на RSS-канал Грегга. Его адрес gkeizer@ix.netcom.com.

Узнайте больше о безопасности в области безопасности Рубрика Computerworld's центр.