Slaid Stealthy Rootkit Di Bawah Radar

Beribu-ribu laman web telah

Perisian yang berniat jahat adalah varian baru Mebroot, sebuah program yang dikenali sebagai "rootkit" untuk cara yang tersembunyi ia menyembunyikan jauh di dalamnya Sistem pengendalian Windows, kata Jacques Erasmus, pengarah penyelidikan untuk syarikat keselamatan Prevx.

Versi awal Mebroot, iaitu apa yang dinamakan Symantec, mula muncul sekitar bulan Disember 2007 dan menggunakan teknik yang terkenal untuk tetap tersembunyi. Ia menjejaskan Rekod Boost Master (MBR) komputer.

Membaca lebih lanjut: Cara menghapuskan malware dari PC Windows Anda

Jika MBR berada di bawah kendali penggodam, begitu pula keseluruhannya komputer dan apa-apa data yang ada di dalamnya atau dihantar melalui Internet, Erasmus berkata.

Sejak Mebroot muncul, vendor keselamatan telah menapis perisian mereka untuk mengesannya. Tetapi versi terkini menggunakan teknik yang lebih canggih supaya tetap tersembunyi, kata Erasmus.

Mebroot memasukkan cangkuk program ke dalam pelbagai fungsi kernel, atau kod teras sistem operasi. Sebaik sahaja Mebroot telah memegang, malware kemudian menjadikannya kelihatan bahawa MBR tidak diganggu.

"Apabila sesuatu sedang cuba untuk mengimbas MBR, ia memaparkan MBR yang sangat tampan untuk sebarang perisian keselamatan," Erasmus berkata.

Kemudian, setiap kali komputer boot, Mebroot menyuntik dirinya ke dalam proses Windows dalam ingatan, seperti svc.host. Oleh kerana itu dalam ingatan, ia bermakna tiada apa yang tertulis pada cakera keras, teknik lain yang mengelak, kata Erasmus.

Mebroot kemudian boleh mencuri maklumat yang disukai dan menghantarnya ke pelayan jauh melalui HTTP. Alat analisis rangkaian seperti Wireshark tidak akan melihat data yang bocor sejak Mebroot menyembunyikan lalu lintas, kata Erasmus.

Prevx melihat varian baru dari Mebroot setelah salah satu pelanggan pengguna perusahaan menjadi terinfeksi. Ia mengambil beberapa penganalisis beberapa hari untuk menerangkan dengan tepat bagaimana Mebroot menguruskan untuk menanamkan dirinya dalam sistem operasi. "Saya fikir semua orang pada masa ini sedang berusaha mengubah enjin [antimalware] mereka untuk mencarinya," kata Erasmus.

Dan syarikat-syarikat itu perlu bertindak pantas. Erasmus berkata ternyata beribu-ribu laman web telah digodam untuk menyampaikan Mebroot kepada komputer terdedah yang tidak mempunyai patch yang sesuai untuk penyemak imbas Web mereka.

Mekanisme jangkitan dikenali sebagai muat turun oleh pemacu. Ia berlaku apabila seseorang melawat laman web yang sah yang telah diretas. Sekali di laman web ini, iframe yang tidak kelihatan dimuatkan dengan rangka kerja eksploit yang bermula ujian untuk melihat apakah pelayar mempunyai kerentanan. Sekiranya demikian, Mebroot dihantar, dan seorang pengguna tidak memperhatikan apa-apa.

"Ia agak liar di luar sana sekarang," kata Erasmus. "Di mana-mana sahaja anda pergi, anda mempunyai peluang untuk dijangkiti."

Tidak diketahui siapa yang menulis Mebroot, tetapi ternyata satu tujuan penggodam adalah untuk menjangkiti sebanyak mungkin komputer, kata Erasmus. produk keselamatan khas yang dinamakan sendiri yang berfungsi bersama-sama perisian antivirus untuk mengesan eksploit pelayar drive, pencuri kata laluan, rootkit dan perisian antivirus jahat.

Prevx mengeluarkan versi 3.0 produknya pada hari Rabu. Perisian ini akan mengesan jangkitan malware secara percuma, tetapi pengguna mesti menaik taraf untuk mendapatkan fungsi penyingkiran penuh. Walau bagaimanapun, Prevx 3.0 akan mengeluarkan beberapa perisian jahat yang lebih jahat, termasuk Mebroot, serta sebarang perisian pengiklanan, yang dikenali sebagai adware, secara percuma, kata Erasmus.