STIRI > Trojan.Mebroot, un rootkit ce supravietuieste reinstalarii sistemului
14.01.2008
Expertii in securitate au descoperit un nou tip de atac cu malware care actioneaza asupra hard disk-ului, fiind foarte greu de detectat si indepartat.
Rootkit-ul modifica sectorul MBR - master boot record, care este primul sector al hardului si este folosit pentru a permite PC-ului sa localizeze sistemul de operare imediat dupa pornire. In consecinta, rootkit-ul ruleaza inainte sa fie incarcat Windows-ul. Peste 5.000 de calculatoare au fost infectate in mai putin de o luna, anunta cercetatorii.
"Rootkit-urile MBR pot submina kernelul Windows inainte ca acesta sa fie incarcat, ceea ce le confera avantajul unui camuflaj aproape perfect, spre deosebire de rootkit-urile care sunt incarcate odata cu Windows", a declarat dl. Matthew Richard, director al echipei de reactie rapida iDefense, furnizor de securitate care apartine VeriSign. "Au mecanisme de camuflare care le permit sa ramana instalate chiar dupa stergerea sistemului".
Din cauza ca programul rootkit ramane inscris in MBR, majoritatea programelor antivirus nu il detecteaza. Programul antivirus Symantec il depisteaza sub numele de "Trojan.Mebroot", a declarat dl. Javier Santoyo, manager pentru tehnologii emergente la Symantec. De asemenea, aplicatiile de securitate Trend Micro il identifica sub numele de TROJ_SINOWAL.AD.
Noul rootkit face parte dintr-o adevarata cursa a inarmarilor intre producatorii de solutii de securitate si dezvoltatorii de malware. "In mod clar am facut tot mai greu pentru raufacatori sa actioneze asupra sistemelor de operare. Ca raspuns, acestia incearca sa atace componente noi din calculator.
Orice versiune de Windows, inclusiv Vista, este vulnerabila la rootkit. Peste 30.000 de site-uri, majoritatea localizate in Europa, incearca sa instaleze rootkit-uri prin exploatarea vulnerabilitatilor utilizatorilor care nu au instalate ultimele update-uri Windows. Intre 12 decembrie si 7 ianuarie au fost infectate 5.000 de calculatoare. Rootkit-ul este raspandit de acelasi grup de raufacatori responsabili de distribuirea troienilor Torpig, folositi pentru sustragerea de credentiale bancare.
Desi numarul contaminarilor este inca redus, infectarile s-ar putea generaliza daca grupul va diversifica numarul de exploit-uri folosite. Noul rootkit constituie un semnal de alarma, demonstrand necesitatea unor noi masuri de protectie a PC-urilor. Multi producatori de placi de baza inca nu ofera optiuni de protejare a MBR, si chiar atunci cand acestea exista, utilizatorii obisnuiti nu stiu cum sa le activeze.
"Nu vom putea castiga razboiul cu aplicatiile malware, in special rootkit, decat daca producatorii de hardware si sisteme de operare vor schimba arhitectura acestora", a apreciat dna. Joanna Rutkowska, cercetator de securitate.
sursa: www.gecadnet.ro/securitate
Inapoi
