TDL4 стал использовать 0-day уязвимость

image

Теги: Лаборатория Касперского, уязвимость, вредоносное ПО

Экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ).

Экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet.

Использование эксплоита к данной уязвимости позволяет руткиту TDL4 устанавливаться в системе без каких либо сообщений от защитных механизмов UAC, по умолчанию функционирующих во всех современных операционных системах Windows. При запуске троянца в системе, например в Windows 7, процесс получает отфильтрованный маркер (работа UAC), с привилегиями обычного пользователя. В результате чего, попытка внедрится в процесс диспетчера очереди печати завершается с ошибкой (ERROR_ACCESS_DENIED).

Как сообщается, работы по внедрению в диспетчер очереди печати ведутся и в старых версиях этой вредоносной программы. В новых же модификациях после ошибки идет попытка использования 0-day эксплоита повышения привилегий до "LocalSystem"

Инсталлятор руткита имеет при себе специальный код для обхода некоторых проактивных защит.

"С целью препятствовать внедрению в spoolsv руткита TDL4, некоторые проактивные защиты перехватывают в SSDT функцию NtConnectPort и, если имя порта "\RPC Control\spoolss", выдают сообщение о попытке внедрения в диспетчер очереди печати. Разработчики вредоносной программы очень просто решили эту "проблему" - они в своем собственном процессе перехватили ntdll.ZwConnectPort, где в обработчике перехватчика сверяют значение переданного параметра ServerPortName в функцию (UNICODE строка), и, если это "\RPC Control\spoolss", заменяют ее на аналог с использованием символьной ссылки на корневой каталог пространства имен диспетчера объектов", пишет Сергей Голованов, эксперт Лаборатории Касперского.


или введите имя

CAPTCHA
Giggles
07-12-2010 14:29:23
на http://www.securelist.com уже 3 дня лежит эта тема
0 |
123
07-12-2010 14:36:37
И к чему ты это написал ? Там же по английски ! А тут половина населения ни читать ни писать не умеет по ихнему.
0 |
Giggles
07-12-2010 15:10:14
>_< на русском http://www.securelist.com/ru/blog
0 |
13464
07-12-2010 15:12:03
Касперский как всегда - пиарится.
0 |
домохозяйко
07-12-2010 17:39:11
Инсталлятор руткита имеет при себе специальный код для обхода некоторых проактивных защит. Ну и что теперь делать?
0 |
05099
08-12-2010 09:10:58
выруби службу принт спуллер )
0 |
Robert Paulson
08-12-2010 15:21:26
Непоможет
0 |
=)
08-12-2010 17:07:06
отключи интернету )
0 |