Stealthy Rootkit Slide Higit Pa sa ilalim ng Radar

Libu-libong mga Web site na mayroon Ang mga nakakahamak na software ay isang bagong variant ng Mebroot, isang programa na kilala bilang isang "rootkit" para sa pailalim na paraan na itinatago nito ang malalim sa Ang operating system ng Windows, sinabi ni Jacques Erasmus, direktor ng pananaliksik para sa kumpanya ng seguridad Prevx.

Isang mas naunang bersyon ng Mebroot, na kung ano ang pinangalanang Symantec nito, unang lumitaw noong Disyembre 2007 at gumamit ng isang kilalang pamamaraan upang manatiling nakatago. Naaapektuhan nito ang Master Boot Record (MBR) ng computer.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Kung ang MBR ay nasa ilalim ng kontrol ng isang hacker, sa gayon ay ang buong computer at anumang data na nasa ito o ipinadala sa pamamagitan ng Internet, sinabi ni Erasmus.

Mula noong lumitaw si Mebroot, pinalitan ng mga security vendor ang kanilang software upang makita ito. Ngunit ang pinakabagong bersyon ay gumagamit ng mas sopistikadong mga pamamaraan upang manatiling nakatago, Sinabi ni Erasmus.

Ipinasok ni Mebroot ang mga hook ng programa sa iba't ibang mga function ng kernel, o pangunahing code ng operating system. Sa sandaling nakuha ni Mebroot, lumilitaw ang malware na ang MBR ay hindi na-tampered.

"Kapag may sinusubukang i-scan ang MBR, nagpapakita ito ng isang perpektong magandang MBR sa anumang software ng seguridad," Erasmus Sinabi.

Pagkatapos, sa bawat oras na ang computer ay booted, Mebroot injects mismo sa isang proseso ng Windows sa memorya, tulad ng svc.host. Dahil ito ay nasa memorya, nangangahulugan ito na walang nakasulat sa hard disk, ang isa pang hindi nakakapagpagaling na pamamaraan, sinabi ni Erasmus.

Maaaring magnakaw ni Mebroot ang anumang impormasyong gusto nito at ipadala ito sa isang malayuang server sa pamamagitan ng HTTP. Ang mga tool sa pag-aaral ng network tulad ng Wireshark ay hindi mapapansin ang data na bumubuhos mula noong itinatago ni Mebroot ang trapiko, sinabi ni Erasmus.

Prevx nakita ang bagong variant ng Mebroot matapos ang isa sa mga customer ng kumpanya ng kumpanya ay nahawaan. Kinuha ang mga analyst ng ilang araw upang ilunsad nang eksakto kung paano ang pamamahala ni Mebroot upang i-embed ang sarili nito sa operating system. "Sa palagay ko ang lahat sa ngayon ay nagtatrabaho sa pagbabago ng kanilang [antimalware] na mga makina upang hanapin ito," sabi ni Erasmus.

At ang mga kumpanya ay kailangang kumilos nang mabilis. Sinabi ni Erasmus na lumilitaw na libu-libong mga Web site ang na-hack upang ihatid si Mebroot sa mga mahihinang computer na walang tamang mga patch para sa kanilang mga Web browser.

Ang mekanismo ng impeksyon ay kilala bilang isang drive-by-download. Ito ay nangyayari kapag ang isang tao ay bumisita sa isang lehitimong Web site na na-hack. Sa sandaling nasa site, ang isang hindi nakikitang iframe ay puno ng isang balangkas na pagsasamantala na nagsisimula sa pagsubok upang makita kung ang browser ay may kahinaan. Kung gayon, ang Mebroot ay inihatid, at ang isang user ay hindi nagpapaalam.

"Ito ay medyo ligaw sa labas ngayon," sabi ni Erasmus. "Kahit saan ka pupunta, magkakaroon ka ng isang pagkakataon na ma-impeksyon."

Hindi alam kung sino ang sumulat ng Mebroot, ngunit lumilitaw na ang isang layunin ng mga hacker ay lamang makahawa ng maraming mga computer hangga't maaari, sinabi ni Erasmus. isang self-pinangalanang espesyal na produkto ng seguridad na gumagana sa tabi ng antivirus software upang makita ang drive-by exploit na browser, password stealers, rootkits at rogue antivirus software.

Prevx inilabas ang 3.0 na bersyon ng produkto nito sa Miyerkules. Ang software ay makakakita ng mga impeksyon sa malware nang libre, ngunit kailangang mag-upgrade ang mga user upang makuha ang buong pag-andar ng pag-alis. Gayunman, aalisin ng Prevx 3.0 ang ilan sa mas masasamang malisyosong software, kabilang ang Mebroot, pati na rin ang anumang software sa advertising, na kilala bilang adware, walang bayad, sinabi ni Erasmus.