AHAPC számítástechnikai hardver és szoftver webáruház

A neten már legalább két éve terjedő, Alureon néven is említett "rootkit" fertőzés egyik jellegzetessége, hogy a számítógép merevlemezének indító, ún. boot-szektorába írja be magát. A gép így már a Windows betöltődése előtt elkezdi futtatni az ártó kódot, ami megnehezíti a vírusincidens felfedezését és az érintett gépek megtisztítását - hozzájárulva ezzel a TDSS kártevőcsalád tartós sikeréhez.

A modern, Windows 7 és Vista rendszerekben azonban működik egy védelmi mechanizmus, amely - különösen a 64-bites processzorokra írott változat esetén - megakadályozni hivatott ezt a hacker-trükköt. A rendszermagba betöltött, kernel-szintű fájlok valódiságának kötelező vizsgálata digitális aláírás és ellenőrző-összeg segítségével történik, így jó eséllyel kizárható a rootkit jellegű, rejtett módosítások jelentette kockázat.

Saját magának olvassa a névsort

A Sunbelt biztonsági cég laborja nemrég azt találta, hogy a legújabb, TDL4 fejlesztési szintű TDSS kártevő-változat meglepő módon képes kikerülni a fenti védelmet. A boot-blokkból futó kódrészlet a memóriában módosítja a rendszer betöltését és saját maga írja elő, hogy mit szükséges vagy nem szükséges ellenőrzni.

A Windows rendszer emiatt azt hiszi, hogy nem a szokásos munkaállomás környezettel, hanem a WinPE előtelepítő csomaggal van dolga - amire nem vonatkozik a hitelesítés követelménye! A trükk segítségével a Microsoft "kdcom.dll" fájljának meghamisított, kártékonnyá tett változata be tud töltődni - így az MBR indító-szektorból a futó Windows alá átköltöző rootkit továbbra is aktív marad és most már a miniport eszközmeghajtó kihasználásával álcázza magát.

A TDL4 kártevőben a tartós észrevétlenséget egy kódvisszafejtés elleni megoldás is hivatott biztosítani: a rootkit üres lépésekre cseréli a víruselemzők által használt ún. debugger szoftverek utasításait, így az eredmény értelmezhetetlen lesz és a fertőzés felismerésében, működésének megértésében csak hosszadalmas kézimunkával lehet eredményt elérni.