Diapozitive stealthy Rootkit Mai mult sub radar

a fost falsificat pentru a furniza o piesă puternică de software rău intenționat pe care multe produse de securitate ar putea să nu fie pregătite să o facă.

Software-ul rău intenționat este o nouă variantă a programului Mebroot, un program cunoscut sub numele de "rootkit" pentru modul ascuns ascuns Sistemul de operare Windows, a declarat Jacques Erasmus, director de cercetare al companiei de securitate Prevx.

O versiune anterioară a Mebroot, care a fost numită de Symantec, a apărut pentru prima dată în decembrie 2007 și a folosit o tehnică bine cunoscută pentru a rămâne ascunsă. Infectează un Master Record Boot (MBR) al computerului. Acesta este primul cod pe care îl caută computerul când pornește sistemul de operare după ce BIOS-ul rulează.

[Citirea suplimentară: Cum să eliminați malware-ul de pe PC-ul dvs. Windows]

Dacă MBR este sub controlul unui hacker, calculator și orice date care sunt pe el sau transmise prin Internet, a spus Erasmus.

Întrucât Mebroot a apărut, vânzătorii de securitate și-au rafinat software-ul pentru ao detecta. Dar cea mai recentă versiune utilizează tehnici mult mai sofisticate pentru a rămâne ascunsă, a spus Erasmus.

Programul de inserții Mebroot intră în diferite funcții ale kernelului sau al codului de bază al sistemului de operare. Odată ce Mebroot a luat amploare, malware-ul face să apară că MBR nu a fost manipulat.

"Când ceva încearcă să scaneze MBR, acesta afișează un MBR perfect bine pentru orice software de securitate," Erasmus

Apoi, de fiecare dată când computerul este încărcat, Mebroot se injectează într-un proces Windows în memorie, cum ar fi svc.host. Din moment ce este în memorie, înseamnă că nimic nu este scris pe hard disk, o altă tehnică evaziunii, a spus Erasmus.

Mebroot poate fura apoi orice informație îi place și trimite-o la un server de la distanță prin HTTP. Instrumentele de analiză a rețelei, cum ar fi Wireshark, nu vor observa că datele se scurg din moment ce Mebroot ascunde traficul, a spus Erasmus.

Prevx a văzut noua variantă a Mebroot după ce unul dintre clienții consumatori ai companiei a devenit infectat. Analiștilor i-au trebuit câteva zile să-și cedeze exact modul în care Mebroot reușea să se încorporeze în sistemul de operare. "Cred ca toata lumea lucreaza la modificarea motoarelor lor [antimalware] pentru ao gasi", a spus Erasmus.

Si aceste companii trebuie sa actioneze rapid. Erasmus a spus că se pare că mii de site-uri Web au fost hackate pentru a livra Mebroot computerelor vulnerabile care nu au patch-urile corespunzătoare pentru browserele lor Web.

Mecanismul de infectare este cunoscut sub numele de descărcare. Apare atunci când o persoană vizitează un site Web legitim care a fost hacked. O dată pe site, o iframe invizibilă este încărcată cu un cadru de exploatare care începe să testeze pentru a vedea dacă browserul are o vulnerabilitate. Dacă este așa, Mebroot este livrat și un utilizator nu observă nimic.

"E destul de sălbatic acolo acum", a spus Erasmus. "Oriunde te duci, ai sansa de a fi infectat."

Este necunoscut cine a scris Mebroot, dar se pare ca un singur scop al hackerilor este sa infecteze cat mai multe calculatoare posibil, a spus Erasmus. un produs specializat de securitate specializat, care funcționează împreună cu software-ul antivirus pentru a detecta exploziile browser-ului, parolele, rootkiturile și software-ul antivirus rău.

Prevx a lansat miercuri versiunea 3.0 a produsului său. Software-ul va detecta gratuit infecții malware, dar utilizatorii trebuie să facă upgrade pentru a obține funcția de eliminare completă. Cu toate acestea, Prevx 3.0 va elimina gratuit software-ul rău intenționat, inclusiv Mebroot, precum și orice software publicitar, cunoscut sub numele de adware, Erasmus.