Tdss - Рубрика

Більше руткітів – «хороших» та різних. Part II

Розробники TDL продовжують йти в ногу з часом. Цього разу їх погляд кинувся на неохоплені раніше 64 бітові системи. По-перше — з'явився поділ робочих файлів на 32 та 64 розрядні версії. По-друге, в черговий раз змінився алгоритм запуску після перезавантаження. Раніше подібний алгоритм застосовувався у ВПО Sinowal, відомому своїми новаціями співробітникам антивірусних компаній. Тепер TDL версії 4 заражав головний завантажувальний запис (MBR). Даний спосіб дозволяє йому завантажуватись раніше операційної системи, відразу після старту комп'ютера. Таким чином, TDL-4 з буткіту «мутував» у буткіт. Як і раніше, компоненти TDL-4 зберігалися в спеціальній області жорсткого диска, зашифровані алгоритмом RC4. Код MBR передавав управління компоненту ldr16 (зі сховища). Після передачі управління ldr16 робив перехоплення функцій роботи з жорстким диском (ОС ще не завантажена). Для завантаження TDL-4 використовувалася підміна файлу kdcom.dll (шляхом встановлення перехоплювача на Int 13h та пошуку певної сигнатури kdcom.dll), який необхідний для ініціалізації ядра операційної системи на стадії завантаження. Замість kdcom.dll у результаті завантажувався шкідливий компонент ldr32 або ldr64 (зі сховища) залежно від розрядності цільової ОС. Бінарний код ldr32 та ldr64 практично ідентичний, тому що вони скомпільовані з одного вихідного коду. Але, крім різниці в коді, у 64 бітних системах, починаючи з Windows 2003 x64 (XP x64 і далі Vista, Seven), з'явилося кілька технологій, спрямованих на захист від шкідливого впливу. Одна з них – Patch Guard, яка відстежує зміну критичних об'єктів ядра ОС, таких як:

  • таблиця глобальних дескрипторів - GDT;
  • таблицядескрипторів переривань - IDT;
  • таблиця дескрипторів системних сервісів - SSDT;
  • деякі системні файли, наприклад NTOSKRNL.EXE, NDIS.SYS, HAL.DLL;
  • службові MSR регістри STAR/LSTAR/CSTAR/SFMASK.

Більше руткітів – «хороших» та різних. Part I

Іноді відмінності в стилі написання та застосовуваних принципах роботи шкідливого програмного забезпечення значно відрізняється від зразка до зразка. Одні роблять ставку на поліморфізм, інші на руткіт компоненту. Особливо в плані розвитку руткіт технологій відзначилося сімейство ВПО TDL. Як відомо, нове – це добре забуте старе. На зорі розвитку персональних ЕОМ, основну масу ВПО складали віруси, які поділялися на два класи - файлові та завантажувальні (були і комбіновані, наприклад, сумнозвісний OneHalf). Гідним продовжувачем справи завантажувальних вірусів є буткіт TDSS (TDL-4), хоч і є троянською програмою (не здатною самостійно поширюватися). Буткіт – слово, утворене зі слів бут (boot, завантажувальна область) та руткіт (rootkit, засіб приховування ознак діяльності). Але перш ніж стати буткітом, TDL пройшов великий шлях.