Stealthy Rootkit Slides dalje pod radarom

Tisuće web stranica je zaražen kako bi isporučio snažan zlonamjerni softver koji mnogi sigurnosni proizvodi možda nisu spremni za rukovanje.

Zlonamjerni softver je nova varijanta Mebroota, programa poznatog kao "rootkit" za tajni način koji se skriva duboko u Operacijski sustav Windows, izjavio je Jacques Erasmus, direktor istraživanja za sigurnosnu tvrtku Prevx.

Raniju verziju Mebroota, koju je Symantec nazvao, pojavila se prije prosinca 2007. i koristila poznatu tehniku ​​kako bi ostala skrivena. On zarazi računalnu podizbornu zapisničku zaporku (MBR). To je prvi kod kojeg računalo traži kada podiže operacijski sustav nakon pokretanja BIOS-a.

[Dodatno čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Ako je MBR pod kontrolom hakera, tako je i cijeli računalo i sve podatke koji se nalaze na njemu ili prenose putem Interneta, rekao je Erasmus.

Budući da se Mebroot pojavio, prodavači sigurnosnih tehnologija poboljšali su svoj softver kako bi ga otkrili. No, najnovija inačica koristi mnogo sofisticirane tehnike kako bi ostala skrivena, rekao je Erasmus.

Mebroot umetava programske kuke u različite funkcije kernela ili ključni kod operacijskog sustava. Nakon što se Mebroot zadržao, zlonamjerni softver čini da se MBR ne mijenja.

"Kada nešto pokušava skenirati MBR, prikazuje se savršeno dobar MBR na bilo kojem sigurnosnom softveru", rekao je Erasmus

Zatim, svaki put kada se računalo pokrene, Mebroot se injektira u Windows proces u memoriji, kao što je svc.host. Budući da je u memoriji, to znači da ništa nije napisano na tvrdom disku, još jedna evazivna tehnika, rekao je Erasmus.

Mebroot može ukrasti sve informacije koje mu se sviđaju i poslati ga na udaljeni poslužitelj putem HTTP-a. Alati za analizu mreže kao što je Wireshark neće primijetiti da podaci izlaze iz njih jer Mebroot skriva promet, rekla je Erasmus. Prevx je vidio novu varijantu Mebroota nakon što je jedan od klijenata potrošača postao zaražen. Analitičarima je trebalo nekoliko dana kako bi se točno utvrdilo kako se Mebroot uspio ugraditi u operativni sustav. "Mislim da svatko u ovom trenutku radi na modifikaciji svojih motora [antimalarnog softvera] kako bi ga pronašao", rekla je Erasmus.

A te tvrtke moraju djelovati brzo. Erasmus je rekao da se čini da su tisuće web stranica hakirane kako bi isporučile Mebroot ranjivim računalima koja nemaju odgovarajuće zakrpe za svoje web preglednike.

Mehanizam infekcije poznat je kao "drive-by" preuzimanje. Pojavljuje se kada osoba posjeti legitimnu web stranicu koja je bila sjeckana. Jednom na mjestu, nevidljivi iframe je učitan s okvirom za eksploataciju koji počinje testirati kako bi vidio ima li preglednik ranjivost. Ako je tako, Mebroot je isporučen, a korisnik ne primjećuje ništa.

"Sada je prilično divlje", rekao je Erasmus. "Kamo god krenuli, imate šansu da ste zaraženi."

Nije poznato tko je napisao Mebroot, ali čini se da je jedan cilj hakera da jednostavno zarazi što je više računala, rekao je Erasmus. samozvani specijalizirani sigurnosni proizvod koji radi zajedno s antivirusnim softverom za otkrivanje potencijalnih poteškoća s preglednicima, lozinke, rootkita i protuvirusnog softvera. Prevx je objavio 3.0 verziju svog proizvoda u srijedu. Softver će besplatno otkriti infekcije zlonamjernim softverom, ali korisnici moraju nadograditi kako bi dobili punu funkcionalnost uklanjanja. Međutim, Prevx 3.0 će ukloniti neke od zlonamjernijih zlonamjernih programa, uključujući Mebroot, kao i sve reklamne programe, poznate kao adware, bez naknade, rekao je Erasmus.