تیتر خبر، برای کسانی که می دونن این موجود چی هست کافیه :شیطان:
http://www.prevx.com/blog/154/TDL-rootkit-x-goes-in-the-wild.html

آنالیز خوبیه:
http://www.prevx.com/blog/155/x-TDL-rootkit--follow-up.html

بحث جامع: http://www.kernelmode.info/forum/viewtopic.php?f=16&t=19

ظاهرا این یارو چندساله دنبال این مدل روتکیتهای MBR هست و پیگیر جریاناتشون :)

کدوم یارو ؟

تیتر خبر، برای کسانی که می دونن این موجود چی هست کافیه :شیطان:
http://www.prevx.com/blog/154/TDL-rootkit-x-goes-in-the-wild.html

میشه یکی بگه این موجود چی هست ؟؟ :متفکر:

این نسخه اش ورود روتکیت های کرنل مد به x64 محسوب میشه (یعنی Kernel Patch Guard و Driver Sign Check کشک)
تکنیک های استفاده شده برای نصب ، اجرا و مخفی سازیش حرف ندارن (هم کد 16 بیتی درش به کار رفته، هم 32 بیتی و هم 64 بیتی!.
Dropperش برنامۀ یوزر مد هست که IOCTL می فرسته به درایور اسکازی (برای این که نمی تونه مستقیم در MBR بنویسه. از Bootkit استفاده می کنه). پس از این کار سیستم رو وادار به restart می کنه (در نتیجه برای اجرا یا باید UAC آف باشه یا کاربر بهش اجازه داده باشه.) پس از ری استارت کد بوتکیت بقیۀ موارد (مثل لود شدن درایور های ساین نشده) رو هندل می کنه. (بسته به نسخۀ ویندوز و 32 یا 64 بیتی بودن اون از درایور های مختلفی استفاده میشه. در ضمن کدش هم خارج از file system هست؛ یعنی raw access داره به دیسک)
همون پست هایی رو که دادم بخونی با روال کارش آشنا میشی (نویسنده یا نویسندگانش در مباحثی مثل Windows Internals و برنامه نویسی کرنل درایور ویندوز به شدت حرفه ای و زبده هستن)

این هم از طرف مادر عروس: http://blogs.technet.com/b/mmpc/archive/2010/08/27/alureon-evolves-to-64-bit.aspx

با این توصیفات میشه گفت خواب رو از چشم شرکت های آنتی ویروس گرفته ، واقعا" موجود کثیفی هستش.:ناراحت:

با این توصیفات میشه گفت خواب رو از چشم شرکت های آنتی ویروس گرفته ، واقعا" موجود کثیفی هستش.
در حد شناسایی: http://hitmanpro.wordpress.com/2010/08/26/hitman-pro-detects-64-bit-variant-of-tdl3-rootkit/

آپدیت:
این هم removal
http://hitmanpro.wordpress.com/2010/08/30/hitman-pro-removes-64-bit-tdl3-rootkit/

http://www.prevx.com/blog/155/x-TDL-rootkit--follow-up.html