TIDSERV variante scoperta di recente è in grado di infettare Windows a 64 bit. Backdoor.Tidserv.L controlla se è in esecuzione con un 32 o 64 bit e sceglie un metodo specifico per l’architettura di installazione di sé stesso. Se scopre che è in esecuzione su un sistema a 32 bit, utilizza lo stesso metodo, cioè vecchie varianti Tidserv per ottenere i privilegi necessari, mediante l’esecuzione di sé nel servizio Spooler di stampa. Successivamente, si sceglie una versione a 32 bit del driver del kernel maligno e lo carica nel kernel di Windows. Una volta che il driver viene caricato, infetta il Master Boot Record (MBR) con una versione maligna. Memorizza quindi una copia delle componenti backdoor e dati di configurazione in una zona normalmente non utilizzati alla fine del disco rigido. Tutti i dati maligni scritti su disco con la backdoor sono in un formato criptato, fatta eccezione per i primi 42 byte di codice MBR. Con l’MBR maligno in atto e dei componenti backdoor in giacenza alla fine del disco rigido, la backdoor viene eseguita ogni volta che Windows si riavvia. Questo può consentire di sopravvivere se qualcuno tenta di REINSTALLARE WINDOWS, a meno che l’MBR viene sostituito con una versione pulita, dato che nessun codice Tidserv è scritto nella partizione di Windows. Dato che versioni a 64 bit di Windows richiedono driver con firma del kernel, Tidserv utilizza una strategia diversa di installazione. I driver del kernel maligno non sono firmati e la backdoor non tenta di caricarli direttamente sul sistema in esecuzione. Invece, infetta l’ MBR e copia il backdoor alla fine del disco rigido direttamente in modalità utente, e forza il riavvio del computer. Al riavvio del computer, la backdoor si carica nel kernel di Windows. Ora usa lo stesso metodo su entrambe le versioni a 32 o 64 bit. Quando il sistema viene avviato, il MBR dannoso viene eseguito e questo, a sua volta carica LDR16, cioè il componente Tidserv dalla zona criptata, alla fine del disco rigido. Lo scopo è quello di agganciare il disco di lettura, funzionalità offerta dal BIOS, che viene poi utilizzato dal caricatore di Windows. Successivamente, carica una copia del MBR originale, che è stato salvato da Tidserv durante l’infezione, e lo esegue. In particolare, modifica i dati di configurazione di avvio che possono influenzare le politiche per la verifica delle firme driver, bypassando l’obbligo dei drive firmati di Windows a 64 bit e consente inoltre di caricare in memoria, anche se nessun file sulla partizione di Windows viene modificato. Sembra come se questa potrebbe essere una prima versione della minaccia, dato alcuni problemi di qualità che esistono all’interno del codice. In tal caso il computer è totalmente in possesso del malware e la sua rimozione è piuttosto complicata, dato che la formattazione logica non serve a debellarlo.
Tags: Root-kit per i sistemi operativi a 64 bit, LDR16, TIDSERV virus