Наконец дождались и MS стала прикрывать, мягко говоря очень не новые дыры, связанные с некоторыми методами обхода загрузки не подписанных дров для x64 винды. В частности в вышедшем вчера патче MS Advisory (2506014) были внесены изменения в загрузчик winload.exe, которые препятствуют загрузки не подписанных драйверов TDL4. В процессе инсталляции руткита все происходит, как обычно, но вот после перезапуска системы его драйвера просто не будут загружены.
Но стоит отметить, что этот путь к спасению, работает только для пользователей, которые будут подвержены заражению после этого патча. Тем, кого угораздило заразится ранее уже ничего не поможет :) Точнее TDL4 умеет блокировать доступ к серверам с обновлениями winupdate, поэтому получить заветный патч им будет нелегко.
Ну и для общности картины надо отметить, что семейство китайских буткитов, дроппер которого мы детектим, как NSIS/TrojanClicker.Agent.BJ (VT), использует иные методы обхода проверки подписи, которые этим патчем не были закрыты.
Update: Вышел наш блог пост "KB2506014 kills TDL4 on x64" в официальном блоге, с более подробным объяснением случившегося.
Патч ещё не реверсил. Я так понял, его суть заключается в запрете WinPEMode?
ОтветитьУдалитьВообще довольно странный ход, как мне кажется, ведь никто не мешает отпатчить integrity checks в файлах ядра и winload прямо на диске, на этапе установки руткита в систему.
Костыль для WinPEMode точно есть, остальное тоже еще не досмотрели.
ОтветитьУдалитьхаки Fyyre закрыли?
ОтветитьУдалитьпохоже на то ;)
ОтветитьУдалитьhttp://tinyurl.com/6fvvbbh
ОтветитьУдалить