Скрытые слайды Stealthy Rootkit далее под радаром

Тысячи веб-сайтов имеют был настроен на поставку мощного вредоносного программного обеспечения, которое многие продукты безопасности могут быть не готовы к обработке.

Вредоносная программа - это новый вариант Mebroot, программа, известная как «руткит» для скрытого способа, которым он скрывается глубоко в Операционная система Windows, сказал Жак Эразм (Jacques Erasmus), директор по исследованиям для охранной компании Prevx.

Более ранняя версия Mebroot, названная им Symantec, впервые появилась в декабре 2007 года и использовала известную технику, чтобы оставаться скрытой. Он заражает главную загрузочную запись компьютера (MBR). Это первый код, который компьютер ищет при загрузке операционной системы после запуска BIOS.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Если MBR находится под контролем хакера, так же как и весь компьютер и любые данные, которые находятся на нем или переданы через Интернет, сказал Эразм.

Поскольку Mebroot появился, поставщики безопасности уточнили свое программное обеспечение для его обнаружения. Но последняя версия использует гораздо более сложные методы, чтобы оставаться скрытыми, сказал Эразм.

Mebroot вставляет программные перехваты в различные функции ядра или основной код операционной системы. После того, как Mebroot ухватился, вредоносное ПО затем заставляет казаться, что MBR не был подделан.

«Когда что-то пытается отсканировать MBR, он отображает совершенно красивый MBR для любого программного обеспечения безопасности« Erasmus сказал.

Затем, каждый раз, когда компьютер загружается, Mebroot внедряется в процесс Windows в памяти, такой как svc.host. Поскольку это в памяти, это означает, что на жесткий диск ничего не записано, еще одна уклончивая техника, сказал Эразм.

Mebroot может затем украсть любую информацию, которая ему нравится, и отправить ее на удаленный сервер через HTTP. Сетевые аналитические инструменты, такие как Wireshark, не заметят утечки данных, поскольку Mebroot скрывает трафик, сказал Эразм.

Prevx увидел новый вариант Mebroot после того, как один из потребителей был заражен одним из потребителей. Аналитикам потребовалось несколько дней, чтобы точно определить, как Mebroot удалось внедрить себя в операционную систему. «Я думаю, что все на данный момент работают над модификацией своих двигателей [antimalware], чтобы найти их», - сказал Эразм.

И этим компаниям нужно действовать быстро. Эразм сказал, что кажется, что тысячи веб-сайтов были взломаны, чтобы доставить Mebroot на уязвимые компьютеры, у которых нет правильных патчей для их веб-браузеров.

Механизм заражения известен как загрузка с диска. Это происходит, когда человек посещает законный веб-сайт, который был взломан. После того, как на сайте, невидимый iframe загружается с помощью инфраструктуры эксплойтов, которая начинает тестирование, чтобы узнать, есть ли у браузера уязвимость. Если это так, Mebroot будет доставлен, и пользователь ничего не заметит.

«Сейчас довольно дико, - сказал Эразм. «Повсюду, куда бы вы ни отправились, у вас есть шанс заразиться».

Неизвестно, кто написал Mebroot, но кажется, что одна цель хакеров - просто заразить как можно больше компьютеров, сказал Эразм.

Prevx самоназванный специализированный продукт безопасности, который работает вместе с антивирусным программным обеспечением для обнаружения эксплойтов на основе движка браузера, похитителей паролей, руткитов и антивирусного программного обеспечения.

Prevx выпустила 3.0 версию своего продукта в среду. Программное обеспечение будет обнаруживать вредоносные инфекции бесплатно, но пользователи должны обновиться, чтобы получить полную функциональность удаления. Тем не менее, Prevx 3.0 бесплатно удалит некоторые из более злых вредоносных программ, включая Mebroot, а также любое рекламное программное обеспечение, известное как рекламное ПО.