Патч руткиту не товарищ!
Во вторник, на прошлой неделе, вышло внеплановое обновление от Microsoft, под номером MS10-015 . Данный патч устранял уязвимость, которая позволяет локально повысить свои привилегии, и вносил модификации непосредственно в ядро ОС. Это обновление повлекло довольно непредвиденные последствия — некоторые пользователи испытывали проблемы после его установки. А конкретнее, после перезагрузки системы, которая требуется для установки этого обновления, стала проявляться критическая ошибка в одном из системных драйверов, которая в дальнейшем демонстрировала BSoD.
Со стороны Microsoft данная ситуация вызвала некоторое недоумение, так как перед выпуском обновления проходят довольно жесткое тестирование. Но, как оказалось в процессе проведенного внутреннего расследования, виновником оказался руткит TDSS в последней своей реинкарнации, который инфицировал драйвер, и из-за не совместимости с внесенными в ядро модификациями проявлялась критическая ошибка. Кстати, руткит мог заражать и другие системные драйверы.
Давайте разберемся более подробно, что же произошло, и по какой именно причине возникал BSoD. Итак, речь идет о последней модификации руткита TDSS, которая уже довольно давно активно распространяется в Интернете. Но почему происходит эта ошибка?
Ответ оказался довольно простым: руткит использует неявные вызовы WinAPI функций и ищет их по смещению в памяти, но при обновлении произошли модификации, которые изменили код, находившийся по другим адресам оперативной памяти. Это и послужило причиной критической ошибки.
По словам представителей Microsoft, проблема с данной ошибкой проявлялась исключительно на 32-х разрядных операционных системах. А в качестве аргументов приводилась информация о невозможности загрузки неподписанных драйверов в 64-х битных версиях Vista и Win7. Все это тоже объяснимо, так как руткит вносит модификации непосредственно в драйвер, цифровая подпись уже не проходит верификацию, и драйвер не может быть загружен.
По нашим данным, активность зараженных пользователей руткитом TDSS после выхода этого обновления довольно сильно просела, что заставило злоумышленников выпустить обновленную версию с исправлением этой ошибки. Злоумышленники подошли с иронией к обновлению своего детища, и в одном из конфигурационных файлов к этому зловреду нам встретилась следующая строка непристойного содержания: «F*ck damnation, man! F*ck redemption! We are God's unwanted children!» .
Возникшая ситуация продемонстрировала, что количество пользователей, зараженных данным руткитом, достаточно велико. Причем концентрация пострадавших в США, отнюдь не маленькая. Возможно, именно это повлекло быструю реакцию и расследование инцидента со стороны Microsoft.