Mebroot и Tidserv - самые передовые руткиты

[vaber 350]

Статья в блоге о самых передовых руткитах, которые на текущий момент активно распространяются в сети Интернет.

В статье приводятся техники, которые стал использовать Bootkit (Mebroot ) вскоре после появления руткита TDL3 - который стал самым интересным появлением этого года.

Так же затрагивается проблема углубления в систему при создании руткитов и возникающие в следствии этого проблемы со стабильностью работы руткитов на различных конфигурациях систем. Тут можно вспомнить и недавние BSOD-ы в связи с выходом очередного обновления MS и особенностью нахождения адресов API фун-ций у руткита TDL3 (Tidserv ).

The Mebroot and Tidserv Crossover

[Fixxxer® 65]

Статья весьма интересна уже тем, что автор описал механизм заражения и старта TDL (при чём не последних версий), но уж никак не буткита. Ни слова о MBR. Ни слова о подменённом загрузчике ядра. А Mebroot ли это вообще?

Василий, Вы сами не располагаете образцом такого вредоноса и сами не изучали его? Было бы интересно узнать ещё одну точку зрения.

[vaber 350]

Василий, Вы сами не располагаете образцом такого вредоноса и сами не изучали его? Было бы интересно узнать ещё одну точку зрения.

Располагаю. Все что там написано - так и есть. И там приводится не инжект TDL3,а именно mebroot. Там и сказано, что теперь автора буткита стали применять туже технику, как и первые варианты TDL3 (или тот же z00clicker сейчас). Более того, уже есть 5 различных семейств вредоносных программ, использующих спулер для своей инсталляции в обход hips фаерволов/антивирусов. Сам этот буткит на самом деле уже давно использует AddPrintProcessor - месяца 2-3,просто в Симантеке только заметили (или решили в блоге об этом написать).

[Fixxxer® 65]

Это интересно. Хотя авторы TDL3 уже стали использовать AddPrintProvidor.

Не думаю, что tdl4 и tdl5 из листинга что-либо значит особое, как это подозревают авторы статьи. Просто проявивший себя на практике механизм удачно "слизан". И как я говорил выше - не в последнем варианте. Метки tdl - вполне может быть простой данью уважения автору Говорить о "претензиях" на новый TDL, о "продаже" части кода на основании этого - это слишком смело.

[vaber 350]

Хотя авторы TDL3 уже стали использовать AddPrintProvidor.

Не принципиально.

Просто проявивший себя на практике механизм удачно "слизан". И как я говорил выше - не в последнем варианте.

Именно -слизан. И многие уже слизывать начинают. И слизан в "последнем" варианте - на момент появления такого буткита у тдл3 была точно такая же инсталляция. Да и как сказал выше - не принципиально.

Сам этот буткит на самом деле уже давно использует AddPrintProcessor - месяца 2-3,просто в Симантеке только заметили (или решили в блоге об этом написать).

Посмотрел появление - не 2-3 месяца назад, а с конца декабря 2009

[Fixxxer® 65]

Посмотрел появление - не 2-3 месяца назад, а с конца декабря 2009

Ну судя по статьям автора из Симантек, он именно тогда начал заниматься буткитом Копил материал, а теперь вот заметил - "has caught eyes".

[Fixxxer® 65]

Василий, по поводу "непринципиальности": AddPrintProvidor не требует SeLoadDriverPrivilege. А именно по этому AddPrintProcessor ловили хипсы. Так что с AddPrintProvidor дроппинг стал невидимым для этих хипсов.

[vaber 350]

Василий, по поводу "непринципиальности": AddPrintProvidor не требует SeLoadDriverPrivilege. А именно по этому AddPrintProcessor ловили хипсы. Так что с AddPrintProvidor дроппинг стал невидимым для этих хипсов.

Это да, но я о другом говорил - что для полноценного контроля системы от малвари и использования ею спулера необходимо контролировать RPC.