Stealthy Rootkit Slajdy dalej pod radarem

Tysiące stron internetowych ma został sfałszowany, aby dostarczyć potężnego fragmentu złośliwego oprogramowania, którego wiele produktów zabezpieczających może nie być przygotowanych.

Złośliwe oprogramowanie to nowa odmiana Mebroota, programu znanego jako "rootkit", który ukradkiem ukrywa się głęboko w System operacyjny Windows, powiedział Jacques Erasmus, dyrektor ds. Badań w firmie ochroniarskiej Prevx.

Wcześniejsza wersja Mebroot, którą nazwał Symantec, pojawiła się po raz pierwszy około grudnia 2007 r. I wykorzystała dobrze znaną technikę, aby pozostać w ukryciu. Infekuje główny rekord rozruchowy komputera (MBR). Jest to pierwszy kod, którego komputer szuka podczas uruchamiania systemu operacyjnego po uruchomieniu BIOS.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Jeśli MBR znajduje się pod kontrolą hakera, tak samo jest w przypadku całego systemu komputer i wszelkie dane, które są na nim lub transmitowane przez Internet, powiedział Erasmus.

Od czasu pojawienia się Mebroota dostawcy bezpieczeństwa udoskonalili swoje oprogramowanie, aby je wykryć. Ale najnowsza wersja wykorzystuje znacznie bardziej wyrafinowane techniki, aby pozostać w ukryciu, powiedział program Erasmus.

Mebroot wstawia haki programowe w różne funkcje jądra lub podstawowy kod systemu operacyjnego. Po przejęciu Mebroot, złośliwe oprogramowanie następnie wydaje się, że MBR nie został naruszony.

"Kiedy coś próbuje zeskanować MBR, wyświetla doskonale wyglądający MBR do dowolnego oprogramowania zabezpieczającego," Erasmus powiedział.

Następnie za każdym razem, gdy komputer jest uruchamiany, Mebroot wstrzykuje się do procesu Windows w pamięci, takiego jak svc.host. Ponieważ jest w pamięci, oznacza to, że nic nie jest zapisane na dysku twardym, inna technika wymijająca, powiedział Erasmus.

Mebroot może wykraść dowolne informacje i wysłać je do zdalnego serwera za pośrednictwem protokołu HTTP. Narzędzia do analizy sieci, takie jak Wireshark, nie zauważą wycieku danych od czasu, gdy Mebroot ukrywa ruch, Erasmus powiedział.

Prevx zobaczył nowy wariant Mebroota po tym, jak jeden z klientów konsumenckich firmy został zainfekowany. Analitykom kilka dni zajęło ustalenie, w jaki sposób Mebroot zdołał włożyć się w system operacyjny. "Wydaje mi się, że wszyscy obecnie pracują nad modyfikacją swoich silników [antimalware], aby je znaleźć" - powiedział Erasmus.

A te firmy muszą działać szybko. Erasmus oświadczył, że wygląda na to, że tysiące stron internetowych zostało zaatakowanych przez hakerów w celu dostarczenia Mebroot na słabe komputery, które nie mają odpowiednich poprawek dla swoich przeglądarek internetowych.

Mechanizm infekcji znany jest jako pobieranie z dysku. Występuje, gdy dana osoba odwiedza prawowitą witrynę, która została zaatakowana przez hakera. Po wejściu na stronę, niewidoczny element iframe jest obciążony strukturą exploitów, która rozpoczyna testowanie, aby sprawdzić, czy przeglądarka ma lukę. Jeśli tak, to Mebroot jest dostarczany, a użytkownik niczego nie zauważa.

"To jest teraz dość dzikie," powiedział Erasmus. "Gdziekolwiek jesteś, masz szansę na infekcję."

Nie wiadomo, kto napisał Mebroota, ale wydaje się, że jednym z celów hakerów jest po prostu zainfekowanie jak największej liczby komputerów, powiedział Erasmus.

Prevx ma wyspecjalizowany produkt bezpieczeństwa współpracujący z oprogramowaniem antywirusowym do wykrywania exploitów związanych z przeglądarką, kradzieży haseł, rootkitów i fałszywego oprogramowania antywirusowego.

W środę Prevx wydał wersję 3.0 swojego produktu. Oprogramowanie będzie wykrywać infekcje malware za darmo, ale użytkownicy muszą uaktualnić, aby uzyskać pełną funkcjonalność usuwania. Jednak program Prevx 3.0 usunie niektóre z bardziej złośliwych programów, w tym Mebroot, jak również wszelkie programy reklamowe, zwane adware, bezpłatnie, powiedział program Erasmus.