Rootkit odpowiedzialny za "ekran śmierci" zmutował
A raczej został zaktualizowany przez twórców, jak podejrzewają specjaliści ds. bezpieczeństwa z różnych firm antywirusowych. Złośliwy program, znany pod nazwami TDSS, Tidserv i TDL3 nie powoduje już poważnego błędu w systemie Windows, sygnalizowanego "niebieskim ekranem śmierci".
Marcin Gabryszewski, ESET
Polecamy:
- Microsoft: za "niebieski ekran śmierci" odpowiada rootkit
- Rootkit - wykryj niewykrywalne
- Zwierzenia pogromcy rootkitów
Zobacz także:
Do pobrania:
Więcej informacji:
Patch + rootkit = BSOD
Instalacja łaty MS10-015 w dowolnym systemie Windows zainfekowanym rootkitem, w tym Viście i 7, powodowała wyświetlenie niebieskiego ekranu błędu. Ubiegłotygodniowy incydent przedstawiono jako problem Windows XP, ponieważ przeważająca liczba zainfekowanych maszyn działała pod kontrolą tej właśnie wersji.
Koncern wstrzymał dystrybucję wspomnianej aktualizacji i zapowiedział zbadanie powyższych doniesień. Wynikiem tego była informacja na stronie Microsoft Security Response Center, w której Jerry Bryant, przedstawiciel firmy, winą za "ekrany śmierci" obciążył rootkit.
Tymczasem twórcy rootkita również nie próżnowali. Eksperci z firm Kaspersky i Symantec, cytowani przez portal computerworld.com, sugerują, że kod programu został zaktualizowany. Rootkit aktualizuje się nawiązując połączenie z serwerem i w nowej postaci nie wchodzi już w konflikt z Windows, czego efektem był ekran BSOD.
Jak poradzić sobie z "ekranem śmierci"
Na liście plików infekowanych przez rootkit TDSS/Tidserv/TDL3 infekuje znajduje się m.in. plik atapi.sys z katalogu %System32\drivers\, mający istotne znaczenie w procesie uruchamiania systemu. Aby uniknąć niekończącego się cyklu: restart-BSOD, Symantec radzi uruchomienie Windows z bezpiecznego źródła, np. płyty CD, zlokalizowanie zainfekowanej partycji (zwykle - systemowej) i zastąpienie zainfekowanego pliku atapi.sys "czystą" wersją z nośnika.
Z kolei firma Kaspersky udostępniła narzędzie, którego zadaniem jest odnalezienie i usunięcie rootkita.
Marc Fossi, reprezentujący Symanteka, zauważa, że "ekran śmierci" w ostatecznym rozrachunku na coś się przydał. Liczni użytkownicy, jacy się z nim zetknęli, dowiedzieli się o istnieniu niepożądanego oprogramowania w ich systemach.
Microsoft nie przywrócił jeszcze patcha MS10-015, można więc bezpiecznie pobierać pozostałe aktualizacje.
Rootkit to sprawka Rosjan
Jak ocenia Marcin Gabryszewski, specjalista ds. technologii antyrootkitowych w firmie ESET, cała rodzina rootkitów TDL pochodzi prawdopodobnie z Rosji. Rootkit wykorzystuje różne metody infekcji, ale głównie do użytkowników trafia wraz z nielegalnym oprogramowaniem. Są nim zarażone generatory kluczy, cracki i pliki instalacyjne dystrybuowane poprzez sieci p2p.
Ekspert ESET na pytanie, dlaczego autorzy rootkita zaktualizowali go, zamiast napisać nowy, odpowiada: Aktualizacja jest prostszym sposobem i większości przypadków wystarczającym. Efektem aktualizacji rootkita jest zwykle jego ponowna niewykrywalność. Warto jednak podkreślić, że nawet wykryty rootkit jest niebezpieczny, ponieważ wielu użytkowników nie jest w stanie go usunąć lub odtwarza go z zainfekowanych programów. Część osób ignoruje zagrożenie i dalej używa komputera podłączonego do internetu.
Zdaniem Gabryszewskiego najprostszym sposobem na zabezpieczenie się przed rootkitami jest oczywiście posiadanie najnowszej wersji programu antywirusowego. Każdy dobry program antywirusowy posiada w swoim silniku wyspecjalizowany kod do wykrywania rootkitów. Rozwiązania firmy ESET wyposażone są np. w technologię Anti-Stealth zwalczającą właśnie groźne rootkity - tłumaczy przedstawiciel firmy. Oczywiście istnieją również darmowe programy antyrootkitowe, ale wymagają one od użytkownika specjalistycznej wiedzy - dodaje.
Do treści artykułu dodano komentarz Marcina Gabryszewskiego z firmy ESET.
Komentarze (11)
Re: max rootkit zaktualizuje się tylko na systemach, w których nie wgrano jeszcze poprawki M$
odkad mam viste nie widzialem bsoda....2 lata rainstalki ze dwie...i dostep do masy swietnych zaawansowanych programow za free(freeware itp)...bez problemow z grami, sterownikami i sprzetem....kosztowalo mnie to 250 pln.Duzo?chyba nie 7 pewnie jeszcze lepiej fakt cena juz nie ta - no slaby okres tak ci powiem :) na inwestycje w system...wyjdzie sp1 do 7 i bedzie idealnie(plus jakis kwas z licencja)
@212.244.6.75 "opłaca się kupować komputer z Windowsem?" Opłaca się pod warunkiem, że wszystkie rootkity i wirusy będziesz na bieżąco aktualizował. W przeciwnym razie grozi Ci BSOD.
opłaca się kupować komputer z Windowsem?
Ciekawe czy to przypadek, że najwięcej infekcji tym nowym złem było w krajach gdzie najpopularniejszym oprogramowaniem antywirusowym jest ESET (Słowacja, Węgry, USA...)
Rootkit zmutował, bsod znikł, windziarze mogą spać spokojnie.
twistpl: wersje na serwery i 64 bitowe kosztuję ekstra i nie każdy to ma.
Utility doesn''t support x64 operating systems Dziękuję to by było na tyle
coz zaorac jesli w trybie awaryjnym sie nie uruchomi...i masz racje - producenci idioci nie daja plyt...trzeba sciagac kopie z netu.... ciekawe czy ten problem powoduja rootkity zamieszczone na plytach audio od sony(kiedys zamieszczone)
re Gość: no ale jakaś konsola odzyskiwania chyba tam jest, co? zastanawiam się jedynie, w jaki sposób rootkit może się zaktualizować, jeśli w Windowsie występuje BSOD na starcie systemu.
"Symantec radzi uruchomienie Windows z bezpiecznego źródła, np. płyty CD". Ciekawe jak to zrobić na lapku, do którego producent-idiota nie dał systemu na płycie tylko na ukrytej partycji?
- Kingston: Nowa linia dysków SSD
- Microsoft zapowiada nowy system plików - ReFS
- Intel: SSD 520 - nowa linia szybkich dysków
- Praktyczne porady dla administratorów na 2012 rok
- Co powinien wiedzieć każdy specjalista IT?
- Narzędzia dla administratorów sieci
- Windows Intune 3.0 - szansa na perfekcyjne narzędzie?
- Kontrowersyjne decyzje Oracle odnośnie Javy
- Testy penetracyjne pomogą w obronie przed cyberatakami
- 2012 - rok przełomowy dla internetu?
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...