Stealthy Rootkit Slides dále pod Radarem

Tisíce webů mají byl zmanipulován, aby poskytl silný kus škodlivého softwaru, který by mnoho bezpečnostních produktů nebylo připraveno zvládnout.

Škodlivý software je novou variantou programu Mebroot, program známý jako "rootkit" pro tajemný způsob, jak se skrývá hluboko v Operační systém Windows, říká Jacques Erasmus, ředitel výzkumu pro bezpečnostní společnost Prevx.

Starší verze Mebrootu, kterou společnost Symantec nazvala, se poprvé objevila kolem prosince 2007 a použila dobře známou techniku, jak zůstat skrytá. Infikuje Master Boot Record (MBR) počítače. Je to první kód, který počítač hledá při spouštění operačního systému po spuštění systému BIOS.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Pokud je MBR pod kontrolou hackerů, tak i celý počítač a veškerá data, která jsou na něm nebo jsou přenášena prostřednictvím internetu, uvedl Erasmus.

Od chvíle, kdy se Mebroot objevil, bezpečnostní dodavatelé vylepšili svůj software, aby jej zjistili. Ale nejnovější verze využívá mnohem sofistikovanější techniky k tomu, aby zůstala skrytá, říká Erasmus.

Mebroot vkládá program do háček do různých funkcí jádra nebo jádra operačního systému. Jakmile Mebroot ustálil, malware pak ukazuje, že MBR nebyl zablokován.

"Když se něco pokouší skenovat MBR, zobrazí se zcela hezké MBR na jakýkoli bezpečnostní software," Erasmus

Pak se pokaždé, když je počítač spuštěn, Mebroot vstříkne do procesu Windows v paměti, jako je svc.host. Vzhledem k tomu, že je to v paměti, znamená to, že na pevný disk není zapsán žádný jiný postup, který by se vytratil, řekl Erasmus.

Mebroot pak může ukrást všechny informace, které má rád, a poslat ho na vzdálený server přes HTTP. Nástroje pro analýzu sítě, jako je Wireshark, si nevšimnou, že data uniknou, protože Mebroot skrývá provoz, řekl Erasmus.

Prevx viděl novou variantu Mebrootu po nakazení jednoho ze zákaznických zákazníků společnosti. Analytikům trvalo několik dní, než se přesvědčili, jak se Mebroot podařilo vložit do operačního systému. "Myslím, že každý v současné době pracuje na úpravě svých antimalwarových motorů, aby to našli," řekl Erasmus.

A tyto společnosti musí jednat rychle. Erasmus uvedl, že se zdá, že tisíce webových stránek byly napadnuty, aby se Mebroot dostal do zranitelných počítačů, které nemají správné záplaty pro jejich webové prohlížeče.

Mechanismus infekce je známý jako stahování. Objeví se, když osoba navštíví legitimní webový server, který byl napaden. Jakmile je na webu, neviditelný iframe je načten s využitím frameworku, který začne testovat, zda má prohlížeč zranitelnost. Pokud tomu tak je, Mebroot je doručen a uživatel si nic nevšimne. "" Je to teď docela divné, "řekl Erasmus. "Všude kam jdete, máte šanci být infikován."

Není známo, kdo napsal Mebroot, ale zdá se, že jedním z cílů hackerů je prostě infikovat tolik počítačů, jak je to možné, řekl Erasmus. samozvaný specializovaný bezpečnostní produkt, který funguje společně s antivirovým softwarem k detekci zneužívání prohlížečů, heslům, rootkitům a rogue antivirovému softwaru.

Společnost Prevx vydala včera verzi 3.0 svého produktu. Tento software detekuje infekce škodlivého softwaru zdarma, ale uživatelé musí upgradovat, aby získali úplnou funkci odstranění. Nicméně, Prevx 3.0 odstraní některé z více škodlivého škodlivého softwaru, včetně Mebroot, stejně jako jakýkoli reklamní program, známý jako adware, bezplatně, řekl Erasmus.