Новый троян использует старые приемы маскировки

image

Теги: троян, Windows, вредоносный код

Специалисты по вопросам компьютерной безопасности предупреждают о появлении новой вредоносной программы под названием Mebroot, при помощи которой злоумышленники теоретически могут захватить полный контроль над компьютером жертвы.

Специалисты по вопросам компьютерной безопасности предупреждают о появлении новой вредоносной программы под названием Mebroot, при помощи которой злоумышленники теоретически могут захватить полный контроль над компьютером жертвы.

Троян Mebroot при распространении использует старые приемы маскировки: вредоносная программа записывается в главную загрузочную запись жесткого диска - наиболее важную область на винчестере, содержащую структуру данных для запуска процесса загрузки компьютера. После изменения главной загрузочной записи Mebroot вносит модификации в ядро операционной системы Windows, затрудняющие обнаружение вредоносного кода для антивирусных программ.

Как сообщает PC World со ссылкой на результаты анализа, проведенного экспертами iDefense, троян Mebroot впервые появился в середине декабря прошлого года. Заражение компьютера происходит при посещении вредоносного веб-сайта. По имеющейся информации, на текущий момент злоумышленникам удалось инфицировать порядка пяти тысяч машин

Нужно заметить, что тактика изменения главной загрузочной записи была широко распространена среди вирусописателей во времена MS-DOS, однако в последние годы о ней подзабыли. В 2005 году на хакерской конференции Black Hat специалисты eEye Digital Security продемонстрировали пример руткита, способного прятаться в главной загрузочной записи диска. И именно код этого руткита положен в основу трояна Mebroot.

Эксперты подчеркивают, что на текущий момент не все антивирусные программы способны обнаруживать Mebroot. Поэтому пользователям рекомендуется воздержаться от посещения подозрительных веб-сайтов и не запускать файлы, полученные из ненадежных или неизвестных источников.


или введите имя

CAPTCHA
Страницы: 1  2  
1
15-01-2008 16:17:19
После изменения главной загрузочной записи Mebroot вносит модификации в ядро операционной системы Windows, затрудняющие обнаружение вредоносного кода для антивирусных программ.а как-же хваленая мега-защищенность и всяческие секьюрные апдейты? почему до сих пор ядро может изменить кто угодно?
0 |
1
15-01-2008 16:21:00
Windows ведь...
0 |
1
15-01-2008 16:38:24
мне кажеться что ядро изменяется с наруже а не из нутри, тоесть - до загрузки винды, ну а проверку целостности и валидности опять же теоретически можно обойти снаружи.
0 |
1
15-01-2008 16:43:48
снаружи или изнутри - не важно. ключевое слово - windows
0 |
16-01-2008 02:01:11
Есть ещё одно ключевое слово - "троян". А под что его написали не важно. Что популярней, то и атакуют. Код для Open VMS тоже грамотно написан - после запуска системы поймать факт изменения ядра ты не сумеешь. Нам пришлось применить битовое сравнение чтобы найти те несколько машинных команд которые активировали троян. Теперь с этим разбираются ребята из отдела безопасности - это по их ведомству, мне главное что мы поняли что поймали чёрта за хвост.
0 |
1
15-01-2008 17:22:46
Каким образом виндовый код трояна оказывается "снаружи" и кто его там исполняет?
0 |
1
15-01-2008 17:42:53
а кто тебе сказал что в загрузочной записи вендовый код, там машиный =) венда это для распространения =)
0 |
1
15-01-2008 20:29:01
так или иначе, обсуждение выглядит уныло без крика "вендекапец!!!" )
0 |
16-01-2008 02:12:07
А то что можно так изменить образ модуля что загрузчик не обнаружит факт нарушения его целостности ты не думал? Ведь это не сложно изменить необходимые контрольные суммы одновременно с наложением на файл бинарного патча. Не будь так, ни один патч бы не работал. И тут вполне достаточно самозагружающегося кода периода начальной загрузки - запуск операционной системы ему не нужен, он сам всё найдёт через файловую систему, а вносимые им изменения легко реализуются любым бинарным патчем. Причём его при желании можно и в BIOS спрятать. И даже сделать универсальным, например путём загрузки нескольких патч-модулей для разных операционных систем и размещения их в служебных областях дисков. Кстати, идея не нова - реализована впервые ещё в 1985 году IBM для защиты своих операционных систем S/360 MVT и S/379 VM от взлома.
0 |
1
16-01-2008 09:59:03
А то что можно так изменить образ модуля что загрузчик не обнаружит факт нарушения его целостности ты не думал?наличие патчей отмечается в базе установленных приложений, верно для win/nix. Соответственно, если сумма изменилась без причины или не сходится с полученой из доверенного источника - 100% имеем компрометацию. Сам загрузчик обычно не проверяется, но он невелик по размеру и дубликат обычно хранится где то в системе и конечно на дистрибутивном диске. сравнить побитно 512 или 2048 байт - не проблема. И тут вполне достаточно самозагружающегося кода периода начальной загрузки - запуск операционной системы ему не нужен, он сам всё найдёт через файловую системуСтарая добрая шутка DOS-програмеров: попробуйте создать файл на диске и записать в него килобайт нулей используя 13h прерывание. Не грохнув ФС А ведь тогда не было еще FAT32 и NTFS, 32 и 64 битной адресации секторов диска и SATA контроллеров работающих как RAID и IDE legacy. Попробуйте вместить самопальный драйвер на 2 ФС + драйвер IDE привода в стандартный windows загрузчик и поймете, насколько вы ошибаетесь Причём его при желании можно и в BIOS спрятать. И даже сделать универсальным, например путём загрузки нескольких патч-модулей для разных операционных систем и размещения их в служебных областях дисков.Это в MS DOS достаточно было перехватить int 8h, 9h, 13h чтоб полностью контролировать загружающуюся систему. Теперь ОСь ставит свои дрова и отключает обработчики BIOS. Есть 2 способа не потерять управление при загрузке - встроиться в real mode callback функцию BIOS коих все меньше и меньше в мире, или захватить ring 0 и стать супервизором, но это требует организации полноценной VM с API и "выкручиванием рук" системам, не желающим работать в виртуальной среде. Проще объявить новый модуль в системе и насильно запускать его вместе с драйверами (до отключения обработчиков BIOS старые методы применимы), тогда, при наличии у руткита некоторых стелс функций, обнаружить "пассажира" будет очень сложно. Но тогда возвращаемся к зависимости от системы, чем больше систем инфицируем, тем больше кода, тем сложнее затроянить через инет.
0 |
1
15-01-2008 19:02:54
"...при помощи которой злоумышленники теоретически могут захватить полный контроль над компьютером жертвы." В том и дело что только теоритически
0 |
15-01-2008 19:58:32
ну если он помещает код в мбр, то уже фактически
0 |
1
15-01-2008 20:33:22
Очень странно =) Сейчас во всех биосах есть опция которая отвечает за блокировку от изменения mbr что то мне кажеться этот вирус не проживет долго =)
0 |
16-01-2008 01:54:32
А кто её включает? Это первое, второе она активна только когда операции ввода-вывода на диск идут через BIOS, а это медленно, максимальный режим - PIO mode 4 (16,6 Mb/c). Вот поэтому операционные системы после загрузки BIOS программно отключают, и естественно и TrendMicro AntiVirus (а он обычно и встроен в код BIOS)...
0 |
1
16-01-2008 14:45:52
а толку, если при загруженной системе ввод/вывод не идет через БИОС? в некоторых БИОСах и DEP есть, а толку с того?
0 |
15-01-2008 21:19:08
всё идет по спирали Да? ПингЧук?
0 |
1
15-01-2008 21:56:56
Есть еще люди которые могут написать что то новое. А то смотреть тошно. На эти однообразные поделки.
0 |
FSA
15-01-2008 22:38:18
В подобной новости про пиар кричали. Правда там заголовок гласил о новом вирусе, который в бутсектор лезет. Но что он тока для венды предназначен ни слова не было.
0 |
1
16-01-2008 00:04:36
а где написано, что он НЕ ТОЛЬКО ДЛЯ виндузятины? и где в статье PR, может в подобной, но не в этой? 73999
0 |
16-01-2008 01:50:02
Ответ на твой вопрос ниже. Сейчас с этой "публикой" пусть следователи разбираются, поскольку по закону у нас их судить надо, а не просто всем миром морду набить. Суды у нас добрые: пожурят и отпустят, а вот коли по морде - она ж не чужая, собственная... Говорят доходит, и надолго...
0 |
Страницы: 1  2