Самый продвинутый в мире руткит взламывает защиту 64-битной Windows
Пресловутый руткит, который годами терзал 32-битные версии Windows, теперь добрался и до 64-битных творений корпорации Microsoft.
Умение TDL, также известного как Alureon, инфицировать 64-битные версии Windows 7 — большой успех для создателей руткита, так как Microsoft обеспечил свою операционную систему расширенными мерами безопасности, которые должны были уберечь ее от подобного рода атак. Как сообщает Prevx, руткит научился работать с 64-битными системами примерно в августе этого года.
Согласно исследованию, опубликованному в понедельник GFI Software, последняя версия TDL4 проникает в 64-битную систему путем обхода защищенного режима, который был разработан для того, чтобы драйвера могли установиться только если они были подписаны достоверным источником. Сделать это руткиту удалось путем подключения к главной загрузочной записи на жестком диске и изменения параметров загрузки.
"Параметры загрузки изменяются в памяти из кода, исполняемого инфицированным MBR", — пишет GFI Technical Fellow Чандра Пракаш. "Загрузчик определяет параметр LoadIntegrityCheckPolicy, который определяет уровень достоверности загружаемых программ. Руткит же меняет настройки этого конфига устанавливая низкий уровень проверки достоверности, который в дальнейшем позволяет ему загрузить неподписанный руткит".
Согласно исследованиям Prevx, TDl — самый продвинутый руткит, который когда либо существовал. Его используют для установки и обновления кейлоггеров и других видов вредоносных программ на зараженных машинах. Установленный однажды, он практический не заметен для любой антивирусной защиты. Будучи профессиональным методом вмешательства, руткит использует низкоуровневые команды для того, чтобы отключения дебаггеров и тем самым очень сильно затрудняет свое обнаружение.
Одной из продвинутых мер защит, которую Microsoft добавила в 64-битные версии Windows, был процесс цифровой подписи. Microsoft также добавила PatchGuard, который блокирует возможность драйверов ядра изменять важные части ядра Windows. TDL удалось перехитрить и эту защиту путем изменения главной загрузочной записи таким образом, что она может перехватывать программу загрузки Windows.