Stealthy Rootkit diák tovább a radar alatt

észlelését hogy sok biztonsági terméket képesek kezelni.

A rosszindulatú szoftver egy új változata a Mebrootnak, a "rootkit" -nek nevezett programnak az a titokzatos módja, amellyel mélyen elrejti a A Windows operációs rendszert, mondta Jacques Erasmus, a Prevx biztonsági cég kutatási igazgatója.

A Mebroot korábbi verziója, amelyet a Symantec nevezett el, először 2007 decemberében jelent meg, és ismert technikát használ a rejtett maradtság érdekében. Megsérti a számítógép Master Boot Record (MBR) parancsát. Ez az első olyan kód, amelyet a számítógép az operációs rendszer indításakor a BIOS futása után keres.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

Ha az MBR hacker ellenőrzése alatt áll, akkor az egész a számítógépről és az interneten keresztül továbbított adatokról, Erasmus mondta.

Miután megjelent Mebroot, a biztonsági szolgáltatók finomították szoftverüket annak felderítésére. De a legfrissebb verzió sokkal kifinomultabb technikákat használ, hogy rejtve maradjon, mondta Erasmus.

A Mebroot beszúrja a programokat a rendszermag különféle funkcióiba vagy az operációs rendszer alapkódjába. Amikor a Mebroot megragadta a rosszindulatú programot, akkor úgy tűnik, hogy az MBR-t nem változtatták meg.

"Ha valami megpróbálja beolvasni az MBR-t, egy tökéletesen szép MBR-t jelenít meg bármely biztonsági szoftverhez." Erasmus azt mondta:

Ezután minden alkalommal, amikor a számítógép indításra kerül, a Mebroot beolvassa magát egy Windows-folyamatba a memóriában, például a svc.host-ban. Mivel a memóriában van, ez azt jelenti, hogy a merevlemezre semmi sem íródott, egy újabb kijátszó technika, mondta Erasmus.

A Mebroot ezután ellophat minden információt, amit szeret, és HTTP-n keresztül küldi el egy távoli kiszolgálónak. A hálózati elemző eszközök, mint például a Wireshark, nem veszik észre az adatok kiszivárgását, mivel Mebroot elrejti a forgalmat, mondta Erasmus. Prevx látta a Mebroot új változatát, miután a vállalat egyik fogyasztói ügyfelének fertőzött lett. Néhány nappal elemezgette az elemzőket, hogy pontosan lebecsülhessék, hogyan sikerült Mebroot beágyazódnia az operációs rendszerbe. "Úgy gondolom, hogy mindenki jelenleg dolgozik a [antimalware] motorjaik módosításával, hogy megtalálja azt" - mondta Erasmus.

Ezeknek a vállalatoknak gyorsan kell cselekedniük. Az Erasmus szerint úgy tűnik, hogy több ezer weboldalt feltörtek a Mebroot kiszolgáltatására a sebezhető számítógépeknek, amelyek nem rendelkeznek megfelelő javításokkal a webböngészőkkel.

A fertőzés mechanizmusa meghajtó letöltésként ismert. Ez akkor fordul elő, amikor egy személy egy törvényes webhelyet látogat meg, amelyet feltört. Ha egyszer az oldalra kerül, a láthatatlan iframe egy olyan exploit keretrendszerrel van betöltve, amely megpróbálja megvizsgálni, hogy a böngészőnek van-e sebezhetősége. Ha igen, akkor a Mebroot kiszállításra kerül, és a felhasználó semmit sem észlel.

"Most nagyon vad vagyok ott" - mondta Erasmus. "Mindenütt, ahol megy, megvan a lehetősége arra, hogy fertőzött legyen."

Nem tudom, ki írta a Mebroótot, de úgy tűnik, hogy a hackerek egyik célja egyszerűen megfertőzni a lehető legtöbb számítógépet, mondta Erasmus. egy önálló, speciális biztonsági termék, amely a víruskereső szoftverekkel együttműködve érzékeli a böngészőből származó böngészők kihasználásait, a jelszavakkal való ellopásokat, a rootkiteket és a víruskereső szoftvereket.

Prevx kiadta terméke 3.0 verzióját szerdán. A szoftver ingyen észleli a rosszindulatú programok fertőzéseit, de a felhasználóknak frissíteniük kell a teljes eltávolítási funkciót. A Prevx 3.0 azonban eltávolítja a gonosz rosszindulatú szoftverek közül néhányat, köztük a Mebrootot, valamint minden olyan hirdetési szoftvert, amelyet ingyenes adománynak neveznek, az Erasmus szerint.