Stealthy Rootkit Slides edelleen tutkan alla

Tuhansia sivustoja on on laitettu toimittamaan voimakas haittaohjelma, jonka monet tietoturvatuotteista saattavat olla valmiita käsittelemään.

Haittaohjelmat ovat uusi versio Mebrootista, joka tunnetaan nimellä "rootkit" Windows-käyttöjärjestelmä, sanoi Prevx-tietoturva-alan johtajan Jacques Erasmus.

Mebrootin aikaisempi versio, jota Symantec nimitti, ilmestyi ensimmäisen kerran joulukuussa 2007 ja käytti hyvin tunnettua tekniikkaa pysymään piilossa. Se tarttuu tietokoneen pääkäynnistystietueeseen (MBR).

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Jos MBR on hakkerin hallinnassa, niin se on koko tietokoneen käynnistyksen käynnistämisen jälkeen. tietokone ja kaikki tiedot, jotka ovat siinä tai lähetetään Internetin kautta, Erasmus sanoi.

Koska Mebroot ilmestyi, tietoturvatoimittajat ovat parantaneet ohjelmistonsa havaitsemaan sen. Mutta uusin versio käyttää paljon kehittyneempää tekniikkaa pysyä piilossa, Erasmus sanoi.

Mebroot lisää ohjelmakoukut kernelin eri toimintoihin tai käyttöjärjestelmän ydinkoodiin. Kun Mebroot on tarttunut, haittaohjelmat näyttävät siltä, ​​että MBR: tä ei ole tehty väärin.

"Kun jotain yrittää skannata MBR: tä, se näyttää täysin hyvännäköisen MBR: n mille tahansa tietoturvaohjelmalle", Erasmus sanoi.

Sitten joka kerta, kun tietokone käynnistetään, Mebroot injects itsensä Windows-prosessiksi muistiin, kuten svc.host. Koska se on muistissa, se tarkoittaa, että kovalevylle ei ole kirjoitettu mitään eroa, erasmus sanoi.

Mebroot voi sitten varastaa kaikki haluamansa tiedot ja lähettää sen etäpalvelimelle n kautta. Verkon analysointivälineet, kuten Wireshark, eivät huomaa tietojen vuotamista, koska Mebroot piilottaa liikenteen, Erasmus sanoi.

Prevx näki uuden version Mebrootista sen jälkeen, kun yksi yhtiön kuluttajaasiakkaista sai tartunnan. Se vaati analyytikoita muutaman päivän päästäkseen naulaan täsmälleen miten Mebroot onnistui upottamaan käyttöjärjestelmäänsä. "Mielestäni kaikki tällä hetkellä työskentelevät muuntaakseen [antimalware] -moottoriensa etsimään", Erasmus sanoi.

Ja näiden yritysten on toimittava nopeasti. Erasmus sanoi, että tuhannet Web-sivustot on hakattu toimittamaan Mebroot haavoittuville tietokoneille, joilla ei ole asianmukaisia ​​korjaustiedostoja verkkoselaimilleen.

Infektiomekanismi kutsutaan drive-by-lataukseksi. Se tapahtuu, kun henkilö vierailee laillisessa verkkosivustossa, joka on hakkeroitu. Kun sivustolla on näkymättömiä iframe-tiedostoja, latautuu hyödyntämiskehikko, joka alkaa testata, onko selaimessa haavoittuvuus. Jos näin on, Mebroot toimitetaan ja käyttäjä ei huomaa mitään.

"Se on melko villi siellä nyt", Erasmus sanoi. "Kaikkialla missä menet, sinulla on mahdollisuus saada tartunnan."

On tuntematon, kuka kirjoitti Mebrootia, mutta näyttää siltä, ​​että hakkereiden tavoite on yksinkertaisesti tartuttaa mahdollisimman monta tietokonetta, Erasmus sanoi. itsenäinen tietoturvatuote, joka toimii virustentorjuntaohjelmiston rinnalla, jotta voidaan havaita ajettavien selainohjelmien hyödyntäminen, salasananvarkaiset, rootkitit ja rogue-virustorjuntaohjelmat. Prevx julkaisi tuotteensa 3.0-version keskiviikkona. Ohjelmisto havaitsee haittaohjelmien tartunnat ilmaiseksi, mutta käyttäjien on päivitettävä, jotta he saavat täyden poistotoiminnon. Mutta Prevx 3.0 poistaa joitain pahamaineisia ohjelmia, kuten Mebrootia, ja kaikki mainosohjelmat, joita kutsutaan mainosohjelmiksi, maksutta, Erasmus sanoi.