SVH 1 сен 2010 в 15:59

TDL4 – первый полноценный руткит для x64 систем (Win7, Vista …)

3 мин

17K

Блог компании ESET NOD32

+48

Комментарии 56

tgm 1 сен 2010 в 16:19

Ссылки в студию!

SidexQX 1 сен 2010 в 16:41

Хоть бы написали как его можно получить и его цель =)
Почитаешь и не поймёшь, как же он попадает на комп?

dzmitryc 1 сен 2010 в 16:42

2010 год. Windows — самая супер-пупер система.
Как? Скажите, как вирус, запущенный из-под простого пользователя может обратиться напрямую к диску и записать что-то в MBR?

dzmitryc 1 сен 2010 в 16:43

s/вирус/руткит/

Krypt 1 сен 2010 в 16:50

Флешка, вставленная не вытащенная из компа перед запуском + закрузка с usb раньше hdd

НЛО прилетело и опубликовало эту надпись здесь

Krypt 1 сен 2010 в 17:03

Если я без прав админа (под winXP правда) делаю загрузочкую флеш c kubuntu с помощью unetbootin, то что мешает сделать это вирусу?

bolk 1 сен 2010 в 17:39

Это не вирус, это руткит. Вас поправили же один раз. Или вы не знаете что это такое?

-1

НЛО прилетело и опубликовало эту надпись здесь

bolk 1 сен 2010 в 17:52

Если знаете, то почему называете это вирусом и спрашиваете «или вирус её разметит». Не разметит он ничего. Надо самому стартануть руткит до старта основной системы.

НЛО прилетело и опубликовало эту надпись здесь

bolk 1 сен 2010 в 18:17

Руткиты всегда запускаются осознанно и всегда им нужна подготовленная среда для запуска. По определению.

НЛО прилетело и опубликовало эту надпись здесь

bolk 1 сен 2010 в 18:38

Ну, вы же сказали, что знаете что такое rootkit :) То, что сказал Bahusss следует из определения. Rootkit не вирус и не эксплоит.

НЛО прилетело и опубликовало эту надпись здесь

Krypt 1 сен 2010 в 16:56

В качестве способа борьбы — старый добрый метод — блокировка mbr на запись из биоса
А вычислять в данном случае — неблагодарное дело, боюсь. Как-то обойти руткит при обращении к mbr диска. Проще загрузиться с другого устройства.

НЛО прилетело и опубликовало эту надпись здесь

Krypt 1 сен 2010 в 17:05

Я имел виду загруриться с другого устройства и проверить/вылечить mbr

НЛО прилетело и опубликовало эту надпись здесь

Krypt 1 сен 2010 в 17:27

А это вопрос хороший… Требует отдельного курения манов

НЛО прилетело и опубликовало эту надпись здесь

Bahusss 1 сен 2010 в 18:14

> Скажите, как вирус, запущенный из-под простого пользователя может обратиться напрямую к диску и записать что-то в MBR?

Никак. Нужны права администратора: CreateFile -> msdn.microsoft.com/en-us/library/aa363858.aspx -> «The caller must have administrative privileges. For more information, see Running with Special Privileges.»

Шутка юмора в том, что согласно статье support.microsoft.com/kb/942448:

A file system can write to a volume handle only if the following conditions are true:
Condition 1: The sectors that are being written to are boot sectors.
Note: This condition exists to support programs such as _antivirus programs_, Setup programs, and other programs that have to update the startup code of the system volume. The system volume cannot be locked.

amirul 1 сен 2010 в 21:15

Это кондишены, позволяющие открыть волум при наличии прав.

НЛО прилетело и опубликовало эту надпись здесь

pxx 1 сен 2010 в 17:33

Вот оно подтверждение моих слов из того-самого соседнего топика. И так каждый раз…

НЛО прилетело и опубликовало эту надпись здесь

bolk 1 сен 2010 в 17:41

Да блин, не вирусы, а руткиты. Руткитов — целая туча под Linux.

НЛО прилетело и опубликовало эту надпись здесь

bolk 1 сен 2010 в 17:54

Вы так говорите, как будто в Windows как-то иначе. Чтобы руткит нельзя было установить, так же нужно ряд действий сделать. «Из коробки» Linux и Windows не защищены.

bolk 1 сен 2010 в 17:40

Перестаньте уже читать про вирусы и антивирусы. Мы тут руткит обсуждаем. Эта зараза приползла к нам как раз из-под Linux/Unix.

sha1dy 1 сен 2010 в 17:04

спасибо, очень интересно!

navion 1 сен 2010 в 17:38

— Подготавливается и записывается образ своей файловой системы в конец жесткого диска

А куда именно записывается образ — в пустые 8 МБ, оставленные для преобразования диска, или же прямо поверх существующей ФС?

matrosov 1 сен 2010 в 17:47

Руткит получает адрес последнего сектора и в зависимости от необходимого объема размещает их там. Используется предположение, что диск до конца не может быть заполнен, если руткиту нужно добавить данных, то рост осуществляться к началу диска, если там уже есть данные то они затираются.

MARDEN 1 сен 2010 в 18:19

Узнаю редактор HIEW на скриншотах.

-2

grokinn 1 сен 2010 в 18:32

обожаю читать такие разборы спасибо!

скажите, а если в качестве загрузчика стоит grub то этот руткит будет работать?

DenisO 1 сен 2010 в 19:09

MBR это еще до груба. Я думаю что при виде груба вирус просто сдаст управление :)

amarao 1 сен 2010 в 19:35

Что-то я не понял, кто в какой последовательности что делает. Если MBR запускается до ОС, то он не может вызывать никаких функций ОС. А если после — то каким образом он запускается?

LMaster 1 сен 2010 в 20:59

Сначала он работает на уровне прерываний в реальном режиме. Благодаря тому, что загрузчик руткита стартует первым, он может загрузить ОС и остаться на нулевом кольце.

amarao 1 сен 2010 в 22:11

Я не понимаю вашей терминологии. Что такое «уровень прерываний»? ring0, ring1,...,ring 3, условный ring -1 гипервизоров в VT/Pacifica. Это уровни исполнения кода. Понятно, что код из MBR будет исполняться на ring0, ок. Но после этого он передаёт управление в ОС — и я не вижу причины, почему ОС должна ему передать что-либо обратно. Насколько я знаю, все современные ОС перенастраивают таблицы прерываний и используют собственные драйвера для доступа к оборудованию.

z123 2 сен 2010 в 00:40

как-то так: для того, чтобы операционной системе использовать драйвер диска, драйвер нужно предварительно прочитать с диска. для этого используется функция биос (прерывание 13h). вот тут-то и поджидает систему страшный и ужасный tdl4 :)

amarao 2 сен 2010 в 00:51

Ага, понятно. Ну тут можно сказать только одно «винда — дырявое ядро». Линукс задачу курицы и яйца (загрузки драйверов диска для загрузки) давно решил средствами initrd (initramfs). Понятно, что его можно подменить, но это будет сильно сложнее (т.к. придётся распаковывать и запаковывать обратно initrd, он у каждого ядра свой, не говоря уже про ABI модулей и ядра).

z123 2 сен 2010 в 16:59

а по-моему с линуксом то же самое: в какой-то момент ядру нужно будет получить доступ к диску, чтобы initramfs прочитать, и единственный способ это сделать — использовать функции биоса

amarao 2 сен 2010 в 17:45

Тут есть очень очень важный момент: ядро не читает ничего через биос. Это делает внешний загрузчик. Lilo, grub или даже виндовый бутлоадер. Соответственно, любой резидент на int13h будет иметь возможность только обмануть бутлоадер, но никак не зарегистрироваться в ОС ещё средствами.

z123 3 сен 2010 в 15:59

из любопытства даже посмотрел исходники ядра линукс — прерывания биос из него вызываются, в основном 10h (настройки видеорежима), в одном месте есть и 13h, вот: google.com/codesearch/p?hl=ru#fgLeHA0uieM/arch/x86/boot/edd.c&q=intcall\%280x13,%20package:kernel.org&sa=N&cd=1&ct=rc (ссылка малость некликабельная получилась, но в браузер её вставить можно)

так что линукс ничем защищённее винды в данном случае

amarao 3 сен 2010 в 16:30

Да, это интересно. Теперь вопрос: в этот момент у ядра уже syscall'ы доступны?

z123 4 сен 2010 в 14:27

в какой момент?
хотя, в любом случае, мой ответ будет таким: понятия не имею

ximera 1 сен 2010 в 20:33

tdss кончился господа — dogma millions прекращает свое существование
возможно фейк, но видимо вскоре от авторов появится что-то новое на основе текущей версии
исследование интересное, спасибо!)

LMaster 1 сен 2010 в 20:57

После публикации в статье от Eset'а, догма никак не могла продолжать работать. Какое-то время они будут продолжать выплаты, но, видимо, скоро поднимут новый проект.

ximera 1 сен 2010 в 21:04

да точно, плюс ко всему парочка бравых ребят порутали их серваки и опубликовали наинтереснейшие подробности о статистике и прочем (об этом можно почитать в e-zine NOBUNKUM)