Mebroot Rootkit infekuje tysiące stron internetowych
Tysiące witryn internetowych zostały sfałszowane przez podmianę fragmentu złośliwego kodu, który może spowodować że wiele produktów związanych z bezpieczeństwem może być nieprzygotowanych załatwić ten problem.
Malicious Software to nowy wariant Mebroot, program, znany jako “rootkit” na różne sposóby ukrywa się głęboko w systemie Windows, powiedział Jacques Erasmus, dyrektor badań w firmie zabezpieczającej Prevx.
Wcześniejsza wersja Mebroot, którego to Symantec nazwał, pierwszy raz pojawił się około grudnia 2007 i wykorzystywał dobrze znane techniki pozostawiania w ukryciu. Złośliwy program infekuje komputer w Master Boot Rekordzie (MBR), czyli miejsce które podczas uruchamiania systemu operacyjnego jest sprawdzane zaraz po BIOS-e.
Jeśli MBR znajduje się pod kontrolą hakerów, więc cały komputer i wszelkie dane są pod kontrolą, które są przekazywane za pośrednictwem Internetu, Erasmus powiedział.
Ponieważ pojawiły się odmiany Mebroot, sprzedawcy zabezpieczeń posiadają wyrafinowane oprogramowania do wykrywania go. Jednak ostatnia wersja wykorzystuje bardziej wyrafinowane techniki ukrywania się Mebroota.
Mebroot wstawia haki programu do różnych funkcji jądra lub podmienia kod podstawowy systemu operacyjnego. Jak tylko Mebroot chwyci jako złośliwe oprogramowanie wtedy sprawia, że pojawia się informacja że MBR nie jest uszkodzony.
“Kiedy coś próbuje skanować MBR, wyświetla się niby idealnie zabezpieczony MBR przed złośliwym oprogramowania”.
Następnie za każdym razem, gdy komputer jest uruchamiany, Mebroot uruchamia się w systemie Windows jako jeden z procesów w pamięci, takich jak svc.host. Ponieważ jest to w pamięci RAM, oznacza to, że nic nie jest zapisywane na dysku twardym.
Mebroot następnie kradnie wszelkie informacje, których potrzebuje i wysyła je do zdalnego serwera przy użyciu protokołu HTTP. Narzędzia analizy sieciowej, takie jak Wireshark nie zauważą danych wyciekających pzrez Mebroot, ukrywane są skrupulatnie w ruchu.
Erasmus powiedział że firmy muszą działać szybko, bo wydaje się, że tysiące stron zostały zhakowanych przez Mebroot i dostarcza się w ten sposób do zagrożonych komputerów, które nie mają odpowiedniej łatki dla swoich przeglądarek internetowych (IE).
Mechanizm zakażenia jest znany i ma ona miejsce, gdy osoba odwiedzająca stronę która była zainfekowana. Gdy na miejscu, niewidzialna ramka iframe jest ładowana która wykorzystuje RAM, i rozpoczyna badania, aby sprawdzić, czy przeglądarka ma lukę. Jeśli tak, Mebroot ładuje się, a użytkownik nic o tym nie wie.
Nie wiadomo kto napisał Mebroot, ale wydaje się, że jednym z celów hakerów jest po prostu zainfekować możliwie jak najwięcej komputerów.
Prevx wydała wersję 3.0 swojego produktu w środę. Oprogramowanie wykrywa infekcję złośliwych robaków za darmo, ale użytkownicy muszą uaktualnić, aby uzyskać pełną funkcjonalność usuwania. Jednak Prevx 3.0 będzie usuwał niektóre bardziej złośliwe oprogramowanie, w tym Mebroot, jak również wszelkie oprogramowanie reklamowe, znany jako adware bezpłatnie.
Era świetności Linuksa już blisko 
Related posts
Tags: bios, firm, haker, haki, informacj, Informacje, internet, internetu, Linuksa, Linux, malicious software, master boot, MBR, Opera, prevx, rootkit, sieci, stron, symantec, systemie, twardy, Windows