Nowy rootkit - stare triki

W ostatnich miesiącach pojawił się nowy typ złośliwego oprogramowania, używający dość starych technik do ukrywania się przed oprogramowaniem antywirusowym.

Program złośliwy, noszący nazwę Trojan.Mebroot (nomenklatura Symantec), instaluje się w części dysku czytanej przy starcie komputera i wczytaniu do pamięci komputera wykonuje zmiany w jądrze systemu Windows, które mają utrudnić wykrycie go przez oprogramowanie ochronne.

Według danych iDefense Intelligence Team firmy Verisign, cybeprzestępcy podejmowali próby instalowania tego trojona w połowie grudnia ubiegłego roku i mogli zainfekować ok. 5 tys. komputerów w dwóch oddzielnych atakach przeprowadzonych 12 i 19 grudnia. Do zainstalowania oprogramowania na komputerze użytkownika, napastnik w pierwszym kroku zwabia go na specjalna witrynę WWW, skąd wyprowadzane są różne ataki w kierunku komputera ofiary w celu znalezienia sposobu uruchomienia na nim kodu rootkita. Po zainstalowaniu, kod złośliwy daje atakującemu możliwość kontroli nad maszyny ofiary.

Według iDefense, grupa stojącą za tym rootkitem to ta sama, która jest odpowiedzialna za trojana Torpig. W opublikowanym raporcie iDefense ocenia, iż zainstalowała ona już ponad 250 tys. trojanów.

Interesujące jest to, że Trojan.Mebroot instaluje się w Master Boot Record (MBR). Jest to pierwszy sektor dysku twardego i miejsce, od którego zaczyna się proces ładowania systemu operacyjnego. W zasadzie kontrolując MRB można kontrolować system operacyjny, a tym samym i cały komputer, na którym rezyduje.

Napastnicy używają kilku różnych wersji tego kodu, z których część nie jest aktualnie wykrywana przez produkty antywirusowe.

Oprogramowanie złośliwe infekujące główny sektor ładujący dysku było popularne w czasach MS-DOS, ale bardzo rzadko było stosowane w ostatnich latach. Jednak w roku 2005 specjaliści z eEye Digital Security, w referacie wygłoszonym podczas konferencji Black Hat, pokazali jak można ukryć rootkit w MBR. Według iDefense, Trojan.Mebroot wywodzi się z tej koncepcji.

Niezależny ekspert Marc Maiffret, który wcześnie pracował dla eEye, twierdzi, iż uzyskanie tego rodzaju oprogramowania złośliwego pracującego niezawodnie jest dużym wyzwaniem technicznym i dzisiaj istnieją generalnie łatwiejsze sposoby przejmowania kontroli nad pecetem. Napastnicy uzyskali jednak w ubiegłym roku pewną pomoc w tym zakresie, kiedy to NV Labs opublikowało koncepcyjny projekt rootkita MBR.

W opinii specjalistów, chociaż można zaobserwować rosnącą liczbę rootkitów MBR, to jednak długo nie trzeba będzie czekać na reakcję firm antywirusowych, ponieważ nie jest to nowy rodzaj ataku i nie powinien sprawiać większych trudności w opracowywaniu środków zaradczych.


TOP 200