Ry
Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Цитата: В известных кругах рекламируется для продажи как-бы новый руткит "Аватар" | Главное его отличие от tdl3, это инфицирование сразу 5 системных драйверов, и вроде установка одного своего(а это даже не tdl3, а tdl/tdl2). Дроппер никаких 0-day уязвимости не использует, лишь использование старой уязвимости, позволяющая на не пропатченой системе обойти UAC. Больше всего повесило это: Векторы дальнейшего развития: - x64. И в рекламе: "АВАТАР не является буткитом, носителями его загрузчика являются системные драйвера, критические участки которых восстанавливаются(в памяти) к первоначальному виду каждый раз перед своим стартом. По этой причине АВАТАР удалить из системы сложнее чем буткит (ахиллесова пята буткитов - MBR(VBR))." PatchGuard можно обойти без использования буткита, но это сложно, да и не разумно, ведь буткит загружаясь в память до PatchGuard имеет не только свою защиту, но и защиту PatchGuard'ом! А это усложняет жизнь антируткитам, так как снятие руткитовго перехватчика приведет к краху системы. А если перехватчики не снять, то вместо зараженного MBR/VBR прочитается сохраненная руткитом кукла. |