Rootkit Mebroot - klasyczne antywirusy nie mają szans?

Przedstawiciele fińskiej firmy F-Secure poinformowali podczas targów CeBIT 2008 o wykryciu nowego, wyjątkowo dobrze maskującego się w systemie Windows rootkita. Specjaliści twierdzą, że dzięki specyficznego konstrukcji Mebroot jest praktycznie niewidzialny dla większości współczesnego oprogramowania antywirusowego.

Nowy rootkit po raz pierwszy dostrzeżony został pod koniec ubiegłego roku - przedstawiciele F-Secure mówią jednak, że wykryte wtedy dwie wersje Mebroota były najprawdopodobniej jedynie wydaniami testowymi (alfa i beta). Teraz w Sieci pojawiło się kolejne wydanie, które Mikko Hypponen, główny specjalista ds. bezpieczeństwa w F-Securea nazywa "wersją RTM" (Release to Manufacture - tak producenci oprogramowania nazywają zwykle wersję na tyle dopracowaną, że można ją wprowadzić na rynek).

Szpieg z MBR

Sekret wyjątkowej skuteczności rootkit o nazwie Mebroot polega na tym, że infekuje on sektor startowy twardego dysku komputera PC (tzw. MBR - master boot record). Dzięki temu ładuję się on wcześniej niż jakiekolwiek inne oprogramowania (np. niż program antywirusowy - i dlatego antywirusy nie są w stanie go wykrywać). Hypponen przyznaje, że twórcy Mebroota wykazali się sporą pomysłowością - "Skonstruowano go tak, że po prostu nie da się uruchomić czegoś wcześniej w systemie" - mówi przedstawiciel F-Secure.

Z analiz przeprowadzonych przez fińską firmę wynika, że rootkit może zostać wykorzystany np. do pobrania i zainstalowania w systemie dodatkowych złośliwych programów - bez żadnego działania ze strony jego "legalnego" użytkownika. A to sprawia, że system zainfekowany Mebrootem jest potencjalnie narażony na cały wachlarz dodatkowych zagrożeń - rootkit może pobrać np. destrukcyjnego wirusa, konia trojańskiego czy też tzw. botworma, zamieniającego komputer w element sieci komputerów-zombie. Mebroot rozprzestrzenia się za pośrednictwem stron WWW - atakuje komputery odwiedzające określone serwisy (infekcja następuję poprzez lukę w systemie lub przeglądarce internetowej).

Klasyczny antywirus nie pomoże?

Mikko Hypponen mówi, że mimo wysiłków specjalistów z F-Secure nie udało się im sprawić, by oferowany przez firmę antywirus potrafił poprawnie wykryć i usunąć Mebroota - ekspert przypuszcza, że podobne problemy będą z nim miały inne popularne aplikacje antywirusowe. Jedynym, co udało się osiągnąć specjalistom z F-Secure, to wygenerowanie przez skaner AV komunikatu, że system może być zainfekowany przez rootkit. "Problem z tym szkodnikiem polega na tym, że nie ukrywa się on w pojedynczym pliku - Mebroot "wstrzykuje" swoje elementy do rożnych procesów uruchomionych w systemie. To sprawia, że wykrycie go tradycyjnymi metodami jest praktycznie niemożliwe" - tłumaczy Hypponen. Skutecznym sposobem namierzenia i usunięcia tego rootkitu okazało się tylko skorzystanie z antywirusa, który uruchamiał się nie w systemie, lecz z płyty bootującej.

Warto przypomnieć, że wszelkiego rodzaju szkodniki infekujące MBR były dość popularne w erze systemu MS-DOS - później jednak zniknęły. Kilka lat temu dwaj specjaliści z firmy eEye Digital Security - Derek Soeder i Ryan Permeh - stworzyli co prawda "prototypowe" rootkita (BootRoot), którego zadaniem było udowodnienie, że takie szkodniki mogą pojawić się również w Windows, jednak ich rewelacje zostały przyjęte przez środowisko dość sceptycznie. Inni specjaliści ds. bezpieczeństwa nie negowali co prawda odkryć pracowników eEye, twierdzili jednak, że stworzenie rootkitu infekującego MBR wymaga umiejętności i narzędzi zdecydowanie bardziej zaawansowanych niż te, którymi mogą dysponować twórcy złośliwego oprogramowania. Czas pokazał, że twierdzenie to było błędne...