Воскресенье, 24.Ноября.2024, 17:27
Приветствую Вас Гость | RSS
]
0
Главная | | Регистрация | Вход
ЧЕРНАЯ МЕТКА
Форма входа

Меню сайта

Категории раздела
НОВОСТИ БЕЗОПАСНОСТИ [25]
рекомендации по безопасности , новости угроз, методы защиты
Новости сайта [36]
Статьи о безопасности

Поиск

Бонусы !


Архив записей

Наш опрос

Друзья сайта
  • Создать сайт
  • Все для веб-мастера
  • Программы для всех
  • Мир развлечений
  • Кидалам - нет
  • Лучшие сайты Рунета
  • Кулинарные рецепты

  • Статистика

    Онлайн всего: 6
    Гостей: 6
    Пользователей: 0

    Главная » 2010 » Февраль » 20 » Патч MS10-015 изъят из службы Windows Update.
    12:29
    Патч MS10-015 изъят из службы Windows Update.

    «Синий экран смерти», появившийся на некоторых ПК после установки последних обновлений для Windows, помог выявить присутствие руткита семейства TDSS.

    Как оказалось, третье поколение этих серьезных зловредов (в классификации ЛК Rootkit.Win32.TDSS), представители которого были обнаружены на пострадавших компьютерах, конфликтует с одним из тринадцати патчей, разосланных Microsoft на прошлой неделе.

    Руткит TDSS/TDL3 работает на уровне ядра: внедряется в системный драйвер Windows и создает собственную виртуальную файловую систему, в которой прячет основной код. Для маскировки своего присутствия он перехватывает системные функции (Windows API), отыскивая их по разнице между виртуальным и базовым адресами (RVA), которую вычислил в процессе инсталляции.

    После установки на зараженный компьютер патча MS10-015 RVA-адреса поменялись. При перезапуске Windows адрес, запрошенный руткитом, оказался неправильным, и эта ошибка привела к зависанию системы и появлению BSoD — «синего экрана смерти» (Blue Screen of Death). Исправить положение можно, устранив зловреда. Для этого следует заменить зараженный драйвер чистой копией. Вероятнее всего, это будет atapi.sys, хотя возможны и другие варианты. Можно пролечить систему с помощью специальной утилиты — такой, как TDSSKiller, разработанная в Лаборатории Касперского.

    Microsoft проводит собственное расследование, но пока не нашла других причин, которые могли бы вызвать аналогичный сбой. По словам экспертов, зловред поразил только ОС Win32, включая Vista и Windows 7. Дело, видимо, в том, что в 64-битных версиях систем MS используются дополнительные технологии, позволяющие усилить защиту ядра. Патч MS10-015 изъят из службы Windows Update до окончания расследования.

    В лагере противника инцидент с «синим экраном» тоже не прошел незамеченным. За несколько часов авторы TDL3 обновили билд, и зловреду уже не страшна установка MS10-015. По свидетельству Symantec, им пришлось для этого даже отключить большинство своих ботов. Компонент режима пользователя теперь называется не tdlcmd.dll, а z00clicker.dll. Новая версия распространяется так же быстро и теми же методами — через торренты и варез-сайты.

    Эксперты английской компании Prevx, которые с особым вниманием отслеживают эволюцию TDSS, отмечают, что вирусописатели трудятся над своим детищем не покладая рук. Последние несколько месяцев обновления выпускались ежедневно, иногда даже несколько раз в сутки.

    Татьяна Никитина
    опубликовано 19 фев 2010, 14:51 MSK

    Категория: Новости сайта | Просмотров: 807 | Добавил: spirit | Рейтинг: 5.0/2
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]

    Copyright MyCorp © 2024

    Информер PR и ТИЦRambler's Top100
    Аккаунт ZWN Яндекс.Метрика
    Goon Каталог сайтов