Rootkit odpowiedzialny za "ekran śmierci" zmutował
A raczej został zaktualizowany przez twórców, jak podejrzewają specjaliści ds. bezpieczeństwa z różnych firm antywirusowych. Złośliwy program, znany pod nazwami TDSS, Tidserv i TDL3 nie powoduje już poważnego błędu w systemie Windows, sygnalizowanego "niebieskim ekranem śmierci".
Marcin Gabryszewski, ESET
Polecamy:
- Microsoft: za "niebieski ekran śmierci" odpowiada rootkit
- Rootkit - wykryj niewykrywalne
- Zwierzenia pogromcy rootkitów
Zobacz także:
Do pobrania:
Więcej informacji:
Patch + rootkit = BSOD
Instalacja łaty MS10-015 w dowolnym systemie Windows zainfekowanym rootkitem, w tym Viście i 7, powodowała wyświetlenie niebieskiego ekranu błędu. Ubiegłotygodniowy incydent przedstawiono jako problem Windows XP, ponieważ przeważająca liczba zainfekowanych maszyn działała pod kontrolą tej właśnie wersji.
Koncern wstrzymał dystrybucję wspomnianej aktualizacji i zapowiedział zbadanie powyższych doniesień. Wynikiem tego była informacja na stronie Microsoft Security Response Center, w której Jerry Bryant, przedstawiciel firmy, winą za "ekrany śmierci" obciążył rootkit.
Tymczasem twórcy rootkita również nie próżnowali. Eksperci z firm Kaspersky i Symantec, cytowani przez portal computerworld.com, sugerują, że kod programu został zaktualizowany. Rootkit aktualizuje się nawiązując połączenie z serwerem i w nowej postaci nie wchodzi już w konflikt z Windows, czego efektem był ekran BSOD.
Jak poradzić sobie z "ekranem śmierci"
Na liście plików infekowanych przez rootkit TDSS/Tidserv/TDL3 infekuje znajduje się m.in. plik atapi.sys z katalogu %System32\drivers\, mający istotne znaczenie w procesie uruchamiania systemu. Aby uniknąć niekończącego się cyklu: restart-BSOD, Symantec radzi uruchomienie Windows z bezpiecznego źródła, np. płyty CD, zlokalizowanie zainfekowanej partycji (zwykle - systemowej) i zastąpienie zainfekowanego pliku atapi.sys "czystą" wersją z nośnika.
Z kolei firma Kaspersky udostępniła narzędzie, którego zadaniem jest odnalezienie i usunięcie rootkita.
Marc Fossi, reprezentujący Symanteka, zauważa, że "ekran śmierci" w ostatecznym rozrachunku na coś się przydał. Liczni użytkownicy, jacy się z nim zetknęli, dowiedzieli się o istnieniu niepożądanego oprogramowania w ich systemach.
Microsoft nie przywrócił jeszcze patcha MS10-015, można więc bezpiecznie pobierać pozostałe aktualizacje.
Rootkit to sprawka Rosjan
Jak ocenia Marcin Gabryszewski, specjalista ds. technologii antyrootkitowych w firmie ESET, cała rodzina rootkitów TDL pochodzi prawdopodobnie z Rosji. Rootkit wykorzystuje różne metody infekcji, ale głównie do użytkowników trafia wraz z nielegalnym oprogramowaniem. Są nim zarażone generatory kluczy, cracki i pliki instalacyjne dystrybuowane poprzez sieci p2p.
Ekspert ESET na pytanie, dlaczego autorzy rootkita zaktualizowali go, zamiast napisać nowy, odpowiada: Aktualizacja jest prostszym sposobem i większości przypadków wystarczającym. Efektem aktualizacji rootkita jest zwykle jego ponowna niewykrywalność. Warto jednak podkreślić, że nawet wykryty rootkit jest niebezpieczny, ponieważ wielu użytkowników nie jest w stanie go usunąć lub odtwarza go z zainfekowanych programów. Część osób ignoruje zagrożenie i dalej używa komputera podłączonego do internetu.
Zdaniem Gabryszewskiego najprostszym sposobem na zabezpieczenie się przed rootkitami jest oczywiście posiadanie najnowszej wersji programu antywirusowego. Każdy dobry program antywirusowy posiada w swoim silniku wyspecjalizowany kod do wykrywania rootkitów. Rozwiązania firmy ESET wyposażone są np. w technologię Anti-Stealth zwalczającą właśnie groźne rootkity - tłumaczy przedstawiciel firmy. Oczywiście istnieją również darmowe programy antyrootkitowe, ale wymagają one od użytkownika specjalistycznej wiedzy - dodaje.
Do treści artykułu dodano komentarz Marcina Gabryszewskiego z firmy ESET.
Komentarze (11)
Re: max rootkit zaktualizuje się tylko na systemach, w których nie wgrano jeszcze poprawki M$
odkad mam viste nie widzialem bsoda....2 lata rainstalki ze dwie...i dostep do masy swietnych zaawansowanych programow za free(freeware itp)...bez problemow z grami, sterownikami i sprzetem....kosztowalo mnie to 250 pln.Duzo?chyba nie 7 pewnie jeszcze lepiej fakt cena juz nie ta - no slaby okres tak ci powiem :) na inwestycje w system...wyjdzie sp1 do 7 i bedzie idealnie(plus jakis kwas z licencja)
@212.244.6.75 "opłaca się kupować komputer z Windowsem?" Opłaca się pod warunkiem, że wszystkie rootkity i wirusy będziesz na bieżąco aktualizował. W przeciwnym razie grozi Ci BSOD.
opłaca się kupować komputer z Windowsem?
Ciekawe czy to przypadek, że najwięcej infekcji tym nowym złem było w krajach gdzie najpopularniejszym oprogramowaniem antywirusowym jest ESET (Słowacja, Węgry, USA...)
Rootkit zmutował, bsod znikł, windziarze mogą spać spokojnie.
twistpl: wersje na serwery i 64 bitowe kosztuję ekstra i nie każdy to ma.
Utility doesn''t support x64 operating systems Dziękuję to by było na tyle
coz zaorac jesli w trybie awaryjnym sie nie uruchomi...i masz racje - producenci idioci nie daja plyt...trzeba sciagac kopie z netu.... ciekawe czy ten problem powoduja rootkity zamieszczone na plytach audio od sony(kiedys zamieszczone)
re Gość: no ale jakaś konsola odzyskiwania chyba tam jest, co? zastanawiam się jedynie, w jaki sposób rootkit może się zaktualizować, jeśli w Windowsie występuje BSOD na starcie systemu.
"Symantec radzi uruchomienie Windows z bezpiecznego źródła, np. płyty CD". Ciekawe jak to zrobić na lapku, do którego producent-idiota nie dał systemu na płycie tylko na ukrytej partycji?
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Serwery "zombie" w centrum danych
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...