:

Szerző: Bodnár Ádám

2010. február 17. 11:10

Frissült a Windows-frissítés után kék halált okozó rootkit

Biztonsági szakértők arra figyelmeztetnek, hogy a bűnözők frissítették azt a rootkitet, amely a Microsoft által a múlt heti patch kedden kiadott frissítéssel összeakadva kék halált idézett elő a windowsos PC-ken.

A TDSS (másképp Tidserv vagy TDL3) kártevő új változata már nem befolyásolja az operációs rendszer működését az MS10-015 patch talapítés után, amelynek az a veszélye, hogy továbbra is észrevétlenül megbújik a felhasználók gépein.

A Microsoft a rendszerösszeomlásokról beérkező jelentések nyomán a múlt hét végén átmenetileg felfüggesztette az MS10-015 jelű biztonsági frissítés terjesztését, miután felhasználók tömegei jelezték a vállalatnál, hogy a javítás telepítése után az operációs rendszerük kék halállal elszáll és nem indítható el egyáltalán. A vizsgálatok során kiderült hogy nem a patch a hibás, a rendszerösszeomlásért egy rootkit a felelős, amely \"összeakad\" a Microsoft által kiadott frissítéssel. Noha a legtöbb incidenst Windows XP-t futtató felhasználók jelezték, a probléma Windows Vista és Windows 7 operációs rendszereket is érinti.

\"\"

Az eset abból a szempontból hasznos volt, hogy sokakat valószínűleg épp a rendszerösszeomlás ébresztett rá arra, hogy a gépük fertőzött. A TDSS-t tavaly novemberben észlelték először és a készítői azóta folyamatosan fejlesztik, finomítják, akár naponta többször is új változatot adtak ki belőle, hogy elkerüljék a lebukást. Marc Fossi, a Symantec Security Response Team tagja szerint a TDSS rootkit most távolról frissíti magát és az új verzió már nem okoz kék halát, így továbbra is észrevétlen tud maradni. Egy rendszerhiba miatt el nem induló gép nem csak a felhasználó, hanem a bűnözők számára is haszontalan, hiszen nem tudják illegális tevékenységükhöz (pl. spamküldés, más gépek megtámadása, kártevők terítése, jelszavak vagy adatok lopása) felhasználni.

A TDSS a lemezműveletekért felelős driverbe (pl. atapi.sys, iastor.sys, ndis.sys, nvata.sys, vmscsi.sys, stb.) épül be és a meghajtóprogram első 824 bájtját átírva lép működése. Ennek során nem változik meg a fájl mérete, így a rootkitek után kutató szoftverek ez alapján nem veszik észre a változást. A driverbe épülve a rootkit szűri az I/O műveleteit, így védeni tudja magát és a kívánt fájlokat bármilyen kiolvasás elől. A TDSS működéséről további részletek olvashatók itt.

A biztonsági cégek közül a Kaspersky már kiadott egy olyan dedikált programot, amely a TDSS eltávolítására szolgál, de az eltávolítása kézzel is kivitelezhető: a fertőzött PC-t egy tiszta rendszerlemeztől (pl. Windows CD) kell indítani és a lemezkezelésért felelős drivereket felül kell írni az eredeti, nem fertőzött állományokkal. A Microsoft jelenleg is vizsgálja még az esetet és az MS10-015 jelzésű biztonsági frissítés egyelőre nem is érhető el a Windows Update-en keresztül.

a címlapról