Обновленный руткит TDL4 обходит новый патч Microsoft

Разработчики одного из самых современных руткитов TDL4, способного инфицировать 64-битные системы Windows, выпустили обновление в ответ на патч Microsoft, мешающий его работе.

12 апреля, компания Microsoft выпустила патч, специально разработанный для отключения защитного механизма руткита TDL4.

По умолчанию 64-битные версии систем Windows 7 и Vista позволяют использовать драйверы только с цифровой подписью, поэтому подавляющее большинство руткитов не может функционировать на таких системах.

Отличие руткита TDL4 заключается в том, что он исправляет данные конфигурации загрузки Windows (Boot Configuration Data) в режиме реального времени, что позволяет ему обходить сигнатурный анализ драйверов операционной системы.

Обновление Microsoft KB2506014 включает изменение размера таблицы экспорта файла kdcom.dll, т.к. программа TDL4 проверяет его значение для определения необходимости замены файла своей версией. Обновленная версия руткита больше не выполняет проверку размера этого файла. Вместо этого TDL4 исправляет процедуру проверки цифровой подписи Windows для kdcom.dll, чтобы вернуть ошибку, которую система не распознает, вынуждая продолжать обычную загрузку программы TDL4.
Кроме того, разработчики TDL4 также изменили способ захвата руткитом системного минипорта, метод, который позволял антивирусным программам обнаруживать его присутствие.

По словам Марко Джулиани (Marco Giuliani), специалиста в области безопасности компании Prevx, известно, что руткит TDL4 устанавливает свой образец драйвера минипорта и подключает DR0 устройство через свой драйвер-фильтр. Такая система позволяла многим утилитам обнаруживать активность руткита в системе. Новый TDL4 удаляет любое упоминание о своем присутствии, тем самым, не оставляя следов, обходит большинство технологий по его обнаружению. 


Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Акронис Инфозащита отменяет плату за облачный бэкап

Компания «Акронис Инфозащита» сообщает, что для поддержки бизнеса своих партнеров и заказчиков для всех новых клиентов сервисов, работающих на базе «Acronis Защита Данных Облачная», отменяется плата за пользование услугой. Акция продлится до 31 июля 2020 года. Услугу предоставляют партнеры (сервис-провайдеры) компании «Акронис Инфозащита».

«Acronis Защита Данных Облачная» — это продукт для организации облачного сервиса резервного копирования (BaaS), который подходит для надежной защиты виртуальных, физических и облачных сред предприятий без существенной нагрузки на собственную ИТ-инфраструктуру. Услугу оказывают провайдеры облачных сервисов, построивших свои решения на базе «Acronis Защита Данных Облачная».

«В условиях кризиса и массового режима удаленной работы неизбежно возрастает уязвимость ИТ-инфраструктуры предприятия, а потеря критических данных может привести к потере всего бизнеса, — говорит Елена Бочерова, исполнительный директор компании «Акронис Инфозащита». — Мы хотим, чтобы как можно больше организаций приняли меры по защите своей информации и смогли пережить это непростое время, сосредоточившись на бизнесе, без дополнительных потерь и ударов».

Облачный сервис резервного копирования помогает защитить и быстро восстановить данные и работоспособность ИТ-системы предприятия как после атак программ-вымогателей, так и после любых других инцидентов, связанных с потерей данных. Резервные копии располагаются в надежном облачном хранилище «Акронис Инфозащиты», данные передаются по защищенным каналам, хранятся в зашифрованном виде, имеют активную защиту от повреждения или несанкционированного изменения.

Найти сервис-провайдера услуги помогут специалисты «Акронис Инфозащиты». Для этого необходимо отправить запрос на адрес: [email protected].

Акция распространяется на клиентов, хранящих свои данные в дата-центре «Акронис Инфозащиты».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru