среда, 13 апреля 2011 г.

MS Advisory (2506014) закрывает брешь для установки на x64 винде

Наконец дождались и MS стала прикрывать, мягко говоря очень не новые дыры, связанные с некоторыми методами обхода загрузки не подписанных дров для x64 винды. В частности в вышедшем вчера патче MS Advisory (2506014) были внесены изменения в загрузчик winload.exe, которые препятствуют загрузки не подписанных драйверов TDL4. В процессе инсталляции руткита все происходит, как обычно, но вот после перезапуска системы его драйвера просто не будут загружены.

Но стоит отметить, что этот путь к спасению, работает только для пользователей, которые будут подвержены заражению после этого патча. Тем, кого угораздило заразится ранее уже ничего не поможет :) Точнее TDL4 умеет блокировать доступ к серверам с обновлениями winupdate, поэтому получить заветный патч им будет нелегко.

Ну и для общности картины надо отметить, что семейство китайских буткитов, дроппер которого мы детектим, как NSIS/TrojanClicker.Agent.BJ (VT), использует иные методы обхода проверки подписи, которые этим патчем не были закрыты.

Update: Вышел наш блог пост "KB2506014 kills TDL4 on x64" в официальном блоге, с более подробным объяснением случившегося.