Dodatek za Firefox, ki omogoča anonimno brskanje z uporabo TDL-4. Cena: 100 dolarjev na mesec.
Ars Technica - Raziskovalci iz Kaspersky Labporočajo o novem botnetu, ki ima vrsto naprednih značilnosti, s katerimi se poizkuša čim dlje časa izmuzniti detekciji in otežiti odstranitev ali uničenje, zaradi česar so ga poimenovali "praktično neuničljiv". Pojavlja se pod imeni TDL-4 (tako ga imenuje pisec), TDSS (tako ga imenujejo protivirusni programi) in Alureon.
Ker so botneti vredno veliko denarja, poizkušajo pisci in upravitelji zakriti prisotnost zlobne programske opreme na okuženih računalnikih in omejiti konkurenco. TDL-4 se zato skrije v zagonski sektor diska (MBR). To je prvi sektor diska, ki se prebere ob zagonu računalnika, in v zdravih računalnikih vsebuje le kazalce za začetek zaganjanja operacijskega sistema. Zato se TDL-4 zažene še pred operacijskim sistemom in protivirusnih programom, kar otežuje njegovo detekcijo.
TDL-4 širijo promotorji (affiliates), ki za vsakih 1000 namestitev na osebne računalnike prejmejo od 20 do 200 dolarjev. Namestitev izvedejo s podtikanjem TDL-4 na pornografske spletne strani, spletne strani z ilegalnimi vsebinami in strani z video vsebinami. Ko enkrat računalnike stakne TDL-4, se ta pritaji v zagonski sektor in pazi, da se nanj ne ugnezdi še kakšna druga zla programska oprema. S tem ubije dve muhi na en mah, sej prepreči, da bi se računalnik obnašal čudno, kar bi vzbudilo sume, in hkrati onemogoča konkurenco.
Za komunikacijo TDL-4 uporablja javno P2P-omrežje Kad, prek katerega vrši komunikacijo v šifrirani obliki. Šifrirni ključi so imena domen, do katerih so vzpostavljene povezave, in parametri bsh iz datoteke cfg.ini. Hkrati TDL-4 na okuženih računalnikih vzpostavi posredniško funkcionalnost (proxy server), tako da jih lahko skrbniki ali kupci storitev botneta uporabljajo za anonimno brskanje po internetu.
Samo letos je TDL-4 okužil več kot štiri milijone računalnikov. Največ okuženih je v ZDA, sledijo pa Indija, Indonezija, Velika Britanija, Kanada in Francija, na katere skupno odpade več kot polovica vseh instanc TDL-4.
Najprej so rekli nov install, potem ne, potem prepisat MBR, kar bo samo delno pomagalo, ta zadeva okuži še disk driver. Pomaga samo čistilno orodje od Kaspersky. http://support.kaspersky.com/viruses/so...
Ja že, gor pa vse epizode Top Gear. Sem videl stvar v akciji, nov install pa je bil nazaj v 10 minutah, zelo zoprna zadeva, pa še MBR na USB ključih isto okuži! Priden Kaspersky Tdss killer
Linux je varen, ker ima odprtokodni sistem ne verjamem, da bi kdo prevzel strežnike in uporabnikom poslal slabe popravke, to bi bil potem Skynet.
sptd ti laufa ce imas instalirane Daemon tools (in verjetno tudi kaksen drug SPTD driver). Ce nimas na svojem compu nobenega SWja ki ima tako funkcionalnost, potem zalaufaj se kaksen scan.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Mene bolj matra firbec zakaj lahko taka nesnaga ucinkovito prepreci drugi nesnagi namestitev na comp, vsi silni AVji pa ne? A je kaksen dogovor da se del AVja ne sme usedet na MBR in ga preverit pred vsemi drugimi kosi SWja?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
@filip007 V bistvu ne okuži nobenega gonilnika, temveč naloži driver, ki hooka specifično funkcijo gonilnika diska. Tukaj.
Dalje, ni mi jasno kako je lahko mašina čez 10 min ponovno okužena? IIRC, ta bootkit ne uporablja nobenega 0-day exploita. Za elevacijo privilegijev je uporabljen arhaični MS10-092 (Task Scheduler bug).
USB ključek lahko infecira le če je bootable (torej ima MBR). Večina ključkov ni bootable by default.
Aja, bootkit zazana celo MRT, ki se naloži vsak Patch Tuesday.
@technolog Jap, Linux je imun. Sam kakšen dolgčas od sistema, da ne premore niti ene spodobne ZlobneKodeTM. :D
No ok potem pa to, v vlavnem je da se da stvar elegantno sanirati z mini orodji pod Safe mode kot je Kaspersky Tdss killer. Kako uporabnik ve da ima ravno ta virus in free verzije ga bodo verjetno spustile v drugo fazo je pa druga zgodba.
O čem ti to? Kakšne free verzije? To ni virus ampak rootkit. Namesti ga uporabnik. Pa TDK je precej neučinkovit pri odstranjevanju novih različic TDL-4. Velikokrat se zgodi da ostaneš z nebootabilno mašino.
Kako uporabnik ve da ima ravno ta virus
Najprej je treba zadevo diagnosticirat. Uporabnik pa lahko zazna, da je gor ta rootkit predvsem po preusmeritvah v iskalnikih, zaznati je tudi izklope AV-ja, počasno browsanje etc.
@ank: To je eksperimentalno orodje, ki se posodablja včasih tudi po večkrat dnevno. Ni za širšo javnost. Trenutna različica tudi na mojem sistemu povzroči BSOD. Vendar samo, če vklopim tudi AV scan. Z (none) opcijo sacn uspešno presta. GMER se pač igra. Danes je sobota in toliko bolj.
Bla, bla, bla, free verzije AV. Bodo spedenali TDSS se ni za bati, Rusi obvladajo sceno. Če se komu skenira, Kasperky in Symantec imata lep zalogaj mini orodij, če ste vsi na Avast, pa še kakšen F-Secure web scanner nebi škodval (Java). http://f-secure.com/en_EMEA-Labs/securi...
Artikel, ki je linkal @ninja4t (KLIK) je bullshit beyond any recognition. Tole je boot/rootkit! Mašina mora biti predhodno ownana. Pwnana je lahko preko a)exploitov ali b)povratnega inžiniringa. V primeru TDL* gre za varijanto b --> Users are tricked into executing malware! Ni ga sistema, in tudi ne varnostnega mehanizma, ki bi lahko to preprečil. Remember CVE-0.
Saj se tudi na tem forumu stalno pojavljajo sumljive povezave. Res pa nikoli nobene ne kliknem, da bi videl, kam vodijo, to prepuščam junakom z linuxi. :D
Saj se tudi na tem forumu stalno pojavljajo sumljive povezave. Res pa nikoli nobene ne kliknem, da bi videl, kam vodijo, to prepuščam junakom z linuxi. :D
Kaj pa virtualizacija? Ali pa naložiš Sandboxie. Tudi novi Avast ima podobno funkcijo itd.
Saj se tudi na tem forumu stalno pojavljajo sumljive povezave. Res pa nikoli nobene ne kliknem, da bi videl, kam vodijo, to prepuščam junakom z linuxi. :D
Kaj pa virtualizacija? Ali pa naložiš Sandboxie. Tudi novi Avast ima podobno funkcijo itd.
Da bi se spustil v vse to, da bi kliknil na link, na katerega v bistvu nočem klikniti. Nah.
zanimiva zadeva tale rootkit, sem si malo prebral zadnje case o tem. pa napredna, vsaj v verziji 4 so se kar orenk potrudili, moram reci. kaksno je pa trenutno stanje, so ga ze onemogocili ali je se vedno in the wild? pa koliko pomnilnika za firmware imajo mrezne kartice recimo? sem bral, da bi se tja dal fajn skrit rootkit, ki bi bil se bolj nevaren in prikrit od teh, ki obstajajo dandanes.
Mrežne kartice, ki jih imaš v desktop računalnikih večinoma nimajo uporabnega firmwara (imajo sicer boot rom, samo le-tega ne moreš uporabit). Tisti napad je bil izveden s strežniško mrežno.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
