Comments 56
Ссылки в студию!
+2
Хоть бы написали как его можно получить и его цель =)
Почитаешь и не поймёшь, как же он попадает на комп?
Почитаешь и не поймёшь, как же он попадает на комп?
+2
2010 год. Windows — самая супер-пупер система.
Как? Скажите, как вирус, запущенный из-под простого пользователя может обратиться напрямую к диску и записать что-то в MBR?
Как? Скажите, как вирус, запущенный из-под простого пользователя может обратиться напрямую к диску и записать что-то в MBR?
+6
s/вирус/руткит/
0
Флешка, вставленная не вытащенная из компа перед запуском + закрузка с usb раньше hdd
0
UFO just landed and posted this here
Если я без прав админа (под winXP правда) делаю загрузочкую флеш c kubuntu с помощью unetbootin, то что мешает сделать это вирусу?
0
Это не вирус, это руткит. Вас поправили же один раз. Или вы не знаете что это такое?
-1
UFO just landed and posted this here
Если знаете, то почему называете это вирусом и спрашиваете «или вирус её разметит». Не разметит он ничего. Надо самому стартануть руткит до старта основной системы.
0
UFO just landed and posted this here
UFO just landed and posted this here
> Скажите, как вирус, запущенный из-под простого пользователя может обратиться напрямую к диску и записать что-то в MBR?
Никак. Нужны права администратора: CreateFile -> msdn.microsoft.com/en-us/library/aa363858.aspx -> «The caller must have administrative privileges. For more information, see Running with Special Privileges.»
Шутка юмора в том, что согласно статье support.microsoft.com/kb/942448:
A file system can write to a volume handle only if the following conditions are true:
Condition 1: The sectors that are being written to are boot sectors.
Note: This condition exists to support programs such as _antivirus programs_, Setup programs, and other programs that have to update the startup code of the system volume. The system volume cannot be locked.
Никак. Нужны права администратора: CreateFile -> msdn.microsoft.com/en-us/library/aa363858.aspx -> «The caller must have administrative privileges. For more information, see Running with Special Privileges.»
Шутка юмора в том, что согласно статье support.microsoft.com/kb/942448:
A file system can write to a volume handle only if the following conditions are true:
Condition 1: The sectors that are being written to are boot sectors.
Note: This condition exists to support programs such as _antivirus programs_, Setup programs, and other programs that have to update the startup code of the system volume. The system volume cannot be locked.
+4
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Вот оно подтверждение моих слов из того-самого соседнего топика. И так каждый раз…
+1
Да блин, не вирусы, а руткиты. Руткитов — целая туча под Linux.
+1
Перестаньте уже читать про вирусы и антивирусы. Мы тут руткит обсуждаем. Эта зараза приползла к нам как раз из-под Linux/Unix.
+1
спасибо, очень интересно!
0
— Подготавливается и записывается образ своей файловой системы в конец жесткого диска
А куда именно записывается образ — в пустые 8 МБ, оставленные для преобразования диска, или же прямо поверх существующей ФС?
+1
Узнаю редактор HIEW на скриншотах.
-2
обожаю читать такие разборы спасибо!
скажите, а если в качестве загрузчика стоит grub то этот руткит будет работать?
скажите, а если в качестве загрузчика стоит grub то этот руткит будет работать?
+1
Что-то я не понял, кто в какой последовательности что делает. Если MBR запускается до ОС, то он не может вызывать никаких функций ОС. А если после — то каким образом он запускается?
+3
Сначала он работает на уровне прерываний в реальном режиме. Благодаря тому, что загрузчик руткита стартует первым, он может загрузить ОС и остаться на нулевом кольце.
+1
Я не понимаю вашей терминологии. Что такое «уровень прерываний»? ring0, ring1,...,ring 3, условный ring -1 гипервизоров в VT/Pacifica. Это уровни исполнения кода. Понятно, что код из MBR будет исполняться на ring0, ок. Но после этого он передаёт управление в ОС — и я не вижу причины, почему ОС должна ему передать что-либо обратно. Насколько я знаю, все современные ОС перенастраивают таблицы прерываний и используют собственные драйвера для доступа к оборудованию.
+1
как-то так: для того, чтобы операционной системе использовать драйвер диска, драйвер нужно предварительно прочитать с диска. для этого используется функция биос (прерывание 13h). вот тут-то и поджидает систему страшный и ужасный tdl4 :)
+1
Ага, понятно. Ну тут можно сказать только одно «винда — дырявое ядро». Линукс задачу курицы и яйца (загрузки драйверов диска для загрузки) давно решил средствами initrd (initramfs). Понятно, что его можно подменить, но это будет сильно сложнее (т.к. придётся распаковывать и запаковывать обратно initrd, он у каждого ядра свой, не говоря уже про ABI модулей и ядра).
+1
а по-моему с линуксом то же самое: в какой-то момент ядру нужно будет получить доступ к диску, чтобы initramfs прочитать, и единственный способ это сделать — использовать функции биоса
0
Тут есть очень очень важный момент: ядро не читает ничего через биос. Это делает внешний загрузчик. Lilo, grub или даже виндовый бутлоадер. Соответственно, любой резидент на int13h будет иметь возможность только обмануть бутлоадер, но никак не зарегистрироваться в ОС ещё средствами.
0
из любопытства даже посмотрел исходники ядра линукс — прерывания биос из него вызываются, в основном 10h (настройки видеорежима), в одном месте есть и 13h, вот: google.com/codesearch/p?hl=ru#fgLeHA0uieM/arch/x86/boot/edd.c&q=intcall\%280x13,%20package:kernel.org&sa=N&cd=1&ct=rc (ссылка малость некликабельная получилась, но в браузер её вставить можно)
так что линукс ничем защищённее винды в данном случае
так что линукс ничем защищённее винды в данном случае
0
tdss кончился господа — dogma millions прекращает свое существование
возможно фейк, но видимо вскоре от авторов появится что-то новое на основе текущей версии
исследование интересное, спасибо!)
возможно фейк, но видимо вскоре от авторов появится что-то новое на основе текущей версии
исследование интересное, спасибо!)
+2
После публикации в статье от Eset'а, догма никак не могла продолжать работать. Какое-то время они будут продолжать выплаты, но, видимо, скоро поднимут новый проект.
+1
Теперь fixmbr станет более популярным? =)
0
OMG, я думал перезапись MBR осталась в прошлом, вместе с Win9x.
Воистину, история движется по спирали (=
Воистину, история движется по спирали (=
+1
26 числа ещё нашли, слоупочите
www.prevx.com/blog/154/TDL-rootkit-x-goes-in-the-wild.html
www.prevx.com/blog/154/TDL-rootkit-x-goes-in-the-wild.html
+1
Sign up to leave a comment.
TDL4 – первый полноценный руткит для x64 систем (Win7, Vista …)