Στιγμιαίες διαφάνειες Rootkit Περαιτέρω κάτω από το ραντάρ

Χιλιάδες τοποθεσίες Web έχουν έχει σχεδιαστεί για να παραδώσει ένα ισχυρό κομμάτι κακόβουλου λογισμικού που πολλά προϊόντα ασφάλειας μπορεί να είναι απροετοίμαστα να χειριστούν.

Το κακόβουλο λογισμικό είναι μια νέα παραλλαγή του Mebroot, ενός προγράμματος που είναι γνωστό ως "rootkit" για τον κρύπτο τρόπο που κρύβει βαθιά μέσα στο "Η παλαιότερη έκδοση του Mebroot, η οποία την ονόμασε η Symantec, εμφανίστηκε για πρώτη φορά γύρω στο Δεκέμβριο του 2007 και χρησιμοποίησε μια γνωστή τεχνική για να παραμείνει κρυμμένη", δήλωσε ο Jacques Erasmus, διευθυντής έρευνας για την εταιρεία ασφάλειας Prevx. Μολύνει τη κύρια εγγραφή εκκίνησης (MBR) ενός υπολογιστή. Είναι ο πρώτος κώδικας που αναζητά ένας υπολογιστής κατά την εκκίνηση του λειτουργικού συστήματος μετά την εκκίνηση του BIOS.

Εάν η MBR βρίσκεται κάτω από τον έλεγχο ενός χάκερ, το ίδιο ισχύει και για το σύνολο ο υπολογιστής και όλα τα δεδομένα που βρίσκονται σε αυτό ή μεταδίδονται μέσω του Διαδικτύου, δήλωσε ο Erasmus.

Από τότε που εμφανίστηκε η Mebroot, οι πωλητές ασφαλείας έχουν επεξεργαστεί το λογισμικό τους για να το ανιχνεύσουν. Αλλά η τελευταία έκδοση χρησιμοποιεί πολύ πιο εξελιγμένες τεχνικές για να παραμείνει κρυμμένη, δήλωσε ο Erasmus.

Το πρόγραμμα Mebroot εισάγει προγράμματα σε διάφορες λειτουργίες του πυρήνα ή στον βασικό κώδικα του λειτουργικού συστήματος. Μόλις η Mebroot καταλάβει το κακόβουλο λογισμικό τότε φαίνεται ότι το MBR δεν έχει παραβιαστεί.

"Όταν κάτι προσπαθεί να σαρώσει το MBR, εμφανίζει ένα εντελώς όμορφο MBR σε οποιοδήποτε λογισμικό ασφαλείας," Erasmus

Στη συνέχεια, κάθε φορά που εκκινείται ο υπολογιστής, η Mebroot εγχέεται σε μια διαδικασία των Windows στη μνήμη, όπως το svc.host. Δεδομένου ότι είναι στη μνήμη, σημαίνει ότι τίποτα δεν γράφεται στον σκληρό δίσκο, μια άλλη τεχνική που αποφεύγει, δήλωσε ο Erasmus.

Η Mebroot μπορεί τότε να κλέψει οποιαδήποτε πληροφορία θέλει και να την στείλει σε απομακρυσμένο διακομιστή μέσω HTTP. Τα εργαλεία ανάλυσης δικτύων, όπως η Wireshark, δεν θα παρατηρήσουν ότι τα δεδομένα διαρρέουν από τότε που η Mebroot κρύβει την κυκλοφορία, δήλωσε ο Erasmus.

Η Prevx είδε τη νέα παραλλαγή του Mebroot μετά την μόλυνση ενός από τους καταναλωτές της εταιρείας. Χρειάστηκαν λίγες μέρες οι αναλυτές να καταλάβουν ακριβώς πώς η Mebroot κατάφερε να ενσωματωθεί στο λειτουργικό σύστημα. "Νομίζω ότι όλοι επί του παρόντος εργάζονται για την τροποποίηση των κινητήρων τους [antimalware] για να το βρουν", δήλωσε ο Erasmus.

Και αυτές οι εταιρείες πρέπει να δράσουν γρήγορα. Το Erasmus είπε ότι φαίνεται ότι χιλιάδες ιστότοποι έχουν πειραχτεί για να παραδώσουν το Mebroot σε ευάλωτους υπολογιστές που δεν έχουν τα κατάλληλα μπαλώματα για τους φυλλομετρητές ιστού τους.

Ο μηχανισμός μόλυνσης είναι γνωστός ως download-drive. Εμφανίζεται όταν κάποιος επισκέπτεται μια νόμιμη τοποθεσία Web που έχει παραβιαστεί. Μόλις τοποθετηθεί στην τοποθεσία, ένα αόρατο iframe φορτώνεται με ένα πλαίσιο εκμετάλλευσης που ξεκινά τη δοκιμή για να διαπιστώσει εάν το πρόγραμμα περιήγησης έχει ευπάθεια. Αν ναι, το Mebroot παραδίδεται και ο χρήστης δεν παρατηρεί τίποτα.

"Είναι πολύ άγριο εκεί έξω τώρα", δήλωσε ο Erasmus. «Οπουδήποτε και αν πάτε, έχετε την ευκαιρία να μολυνθείτε».

Είναι άγνωστο ποιος έγραψε το Mebroot, αλλά φαίνεται ότι ένας στόχος των hackers είναι να μολύνουν απλώς όσο το δυνατόν περισσότερους υπολογιστές, δήλωσε ο Erasmus. ένα εξειδικευμένο εξειδικευμένο προϊόν ασφάλειας που λειτουργεί παράλληλα με λογισμικό προστασίας από ιούς για την ανίχνευση καταστροφών προγράμματος περιήγησης με κωδικό πρόσβασης, προγραμμάτων αντιμετώπισης κωδικών πρόσβασης, rootkits και λογισμικού προστασίας από ιούς.

Η Prevx κυκλοφόρησε την έκδοση 3.0 του προϊόντος την Τετάρτη. Το λογισμικό θα ανιχνεύει δωρεάν τις λοιμώξεις κακόβουλου λογισμικού, αλλά οι χρήστες πρέπει να αναβαθμίσουν για να αποκτήσουν πλήρη λειτουργικότητα κατάργησης. Ωστόσο, το Prevx 3.0 θα αφαιρέσει μερικά από τα πιο κακό κακόβουλα λογισμικά, συμπεριλαμβανομένης της Mebroot, καθώς και οποιοδήποτε διαφημιστικό λογισμικό, γνωστό ως adware, δωρεάν, δήλωσε ο Erasmus