Elemzés rootkit TDSS
belépés
TDSS rootkit is ismert nevek alatt Tidserv, TDSServ és Alureon. Egyes összetevői által észlelt víruskereső más neveken, mint Trojan.Win32.DNSChanger és Trojan.FakeAlert.
család áttekintése
TDSS ismert a kiváló lehetőség, hogy proaktív védelem (antivírus, HIPS, tűzfal), slozhnoudalyaemostyu és rootkit-funkcionális. Jellemző tulajdonságok figyelhetők meg a rendszer - pop-up ablakokat (pop-up), valamint a dob a problémát, és frissíti az anti-vírus termék. A gyakorlatban előfordulhat, hogy olyan funkciókat is, amelyet a dinamikus podgruzku kiegészítő modulok.
Önmagában a TDSS - nem több, mint egy erős downloader (letöltött) egy moduláris felépítésű. A fő feladat -, hogy adja meg a felhasználó számítógépén, hogy megkerülje a védelem, jól rögzített a rendszerben, és továbbra is biztosítja a távoli menedzsment fertőzött gépek, beleértve a letöltését további funkcionális modulokat.
jellemzője
intraspecifikus sokféleség
Az első változatban a rootkit használt folt Advapi32.dll könyvtári szolgáltatás betölti a Microsoft Installer, a telepítés során. Újabb változatok folt Msi.dll könyvtárban. Lehet, hogy ez a változás - a reakció az új működést az aláírás védelmi rendszereket.
kódelemzési
Az általános algoritmus TDSS működését jellemző a család egészének, már leírták [10]. valamint az alapvető mechanizmusának rootkit komponens Ring3. Összesen magas szintű áttekintést a funkciót egy adott fájl található az archívumban MD5 keresést nyilvános homokozók (pl ThreatExpert). Ezért írom le, csak a legfontosabb eszközök és kernel-szintű funkcionalitást.
A telepítés a rootkit és bypass védelmet
A telepítési eljárás rootkit említésre méltó, mivel ez biztosítja a hatékony elkerülő viselkedés védelem és a tűzfalak. A lényeg mászó algoritmus - rosszindulatú kód végrehajtása részeként egy módosított rendszer könyvtár, a rendszer automatikusan betölti a törvényes szolgáltatást. Ennek eredményeként a manipuláció hálózati tűzfal halad rosszindulatú kód aktivitás annak a ténynek köszönhető, hogy a forrás folyamata - A Windows rendszer szolgáltatás - az alapértelmezett benne van a „fehér lista”, és ennek következtében az összes lehetséges jogosultságokkal kell letölteni és telepíteni a fájlokat. A legtöbb proaktív védelmet is telt rootkit viselkedési tevékenységet, mert nem illik a tipikus nemkívánatos magatartásformák.
Technikailag ez az algoritmus a következőképpen valósul. Módosítása a rendszer könyvtár - Advapi32.dll, vagy újabb verziói a rootkit, Msi.dll - végzett egy példányt a könyvtár a lemezen, amelyet ezután betöltjük a \ KnownDLLs kulcsokat a memóriába. Ezt követően a szokásos módszerekkel futtatja a Microsoft Installer, ami automatikusan betölti a módosított könyvtár \ KnownDLLs kulcsokat. [11] Ebben a rendszerben, a kód módosítása Msi.dll minimális, és amely csak egy része a kód végrehajtását \ KnownDLLs kulcsokat \ dll.dll, amely rootkit telepítési eljárás. A tapasz -
A funkcionális részben dll.dll 1. ábrán mutatjuk be.
Ábra. 1. A fő cél ennek a könyvtár - a letöltés és telepítés egy rootkit vezető.
TDSS nem rendelkezik saját folyamat a felhasználói térben. Alap által biztosított funkciók olyan vezető, amely automatikusan betöltődik induláskor. További magas szintű által biztosított funkciók külön DLL-modulok, vezetjük be a különleges eljárások.
meghajtó funkciók között:- rootkit rejtőzködő
- szoftver „portál” A kernel módban
- megakadályozza víruskereső letöltés szerepel a konfigurációs regisztráció kulcs
- végrehajtását egy DLL-modult a felsorolt folyamatok a konfigurációs gombot
- telepítése új DLL-modult.
Rootkit-funkciós
Rootkit elfogja splicing alábbi funkciók kernel térben:
IofCallDriver
IofCompleteRequest
NtFlushInstructionCache
NtQueryVlaueKey
NtEnumerateKey
Portált kerneltérben
Lehallgatás NtFlushInstructionCache valamivel több érdekes, mert ez szolgál portál felhasználói modulok ring0 rootkit. Annak érdekében, hogy a portált, ez a funkció kerül meghívásra a konkrét érvek, amelyek magukban foglalják a mágia érték, parancsokat és paramétereket hozzá. Egy sor parancs feldolgozandó elfogó NtFlushInstructionCache, nagyon korlátozott, és nem ellenőrzi a rootkit. A rendelkezésre álló parancsok való átadását, a mag változó az egyéni modult, megáll az adott folyamat vagy szál a magból (végrehajtásán keresztül a feladatot az APC-call sorban kernel) és a dob az új dll-modul telepítési eljárásokat.
A stabilitás a rendszer
ExQueueWorkItem vezető meghív egy függvényt futtatni több szálat egy kernel. Streams fixated egy időszak kevesebb mint egy másodperc. Így van folyamatos újra-meghajtó a rendszerben ( '\ registry \ machine \ SYSTEM \ CurrentControlSet \ Services \ gaopdxserv.sys), a tűzfal letiltása rendszer ( '\ registry \ machine \ SYSTEM \ CurrentControlSet \ Services \ sharedaccess \ parameters \ firewallpolicy \' ) és egyéb funkciók.
blokkoló antivírus
Az illesztőprogram telepítése a rootkit által PsSetLoadImageNotifyRoutine bejelentési eljárás, átveszi az irányítást betöltésekor minden modult a memóriába. Belül van egy egyeztetési eljárás betölthető modul neve a listára a tiltott felsorolt kulcsfontosságú a „nem engedélyezett” rootkit registry beállításokat. Loading betiltották modulok tiltva.
Eltávolítása TDSS kézzel
A következő utasítások alkotják univerzális algoritmus eltávolítjuk lehetőségek rootkit TDSS. Megvalósítása az algoritmus nem igényel speciális ismereteket, nem egyedi eszközök.- Az Eszközkezelő (Computer → Device Management) a nem-PnP Pilóta részén, letilthatja és törölheti a rootkit driver. Meg lehet lokalizált név szerint (tdsserv.sys, quadraserv.sys stb.) Mivel támaszkodva megbízhatatlan vezető neve - ez jobb, hogy eldöntse, bármilyen anti-rootkit (GMER és rootkit Unhooker előnyös; Avira Antirootkit is felnőtt a feladathoz). Mindezek után manipulációk rootkit fájlok és rendszerleíró kulcsokat témához és hozzáférhető eltávolítása kézzel.
- Törölje a fájlt, amely megfelel a pilótára.
- Az összes törlése rendszerleíró kulcsok hivatkozó az illesztőprogram fájljait és a kiegészítő modulok szerepel a konfigurációs kulcs.
- Távolítsuk el (ha van) az autorun.inf fájl és RECYCLER \ *. Com minden meghajtón.
- Reboot.
- Használjon vírusirtó utolsó tisztítási rendszer esetleges hiányzó fájlokat.