Stealthy Rootkit Slides Yderligere Under Radar

Tusindvis af websteder har er rigget til at levere et kraftigt stykke ondsindet software, som mange sikkerhedsprodukter kan være uforberedt at håndtere.

Den ondsindede software er en ny variant af Mebroot, et program kendt som en "rootkit" for den smarte måde, den skjuler dybt i Windows operativsystem, sagde Jacques Erasmus, direktør for forskning til sikkerhedsselskabet Prevx.

En tidligere version af Mebroot, som Symantec hedder det, blev først opført omkring december 2007 og brugt en kendt teknik til at forblive skjult. Det inficerer en computers Master Boot Record (MBR). Det er den første kode, en computer kigger efter, når operativsystemet startes, efter at BIOS kører.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Hvis MBR'en er under hackers kontrol, er det hele computer og alle data, der er på den eller transmitteres via internettet, sagde Erasmus.

Siden Mebroot dukkede op, har sikkerhedsleverandører gjort deres software til at opdage det. Men den nyeste version bruger meget mere sofistikerede teknikker til at forblive skjult, siger Erasmus.

Mebroot indsætter programhooks i forskellige funktioner i kernen eller operativsystemets kernekode. Når Mebroot har taget fat, viser malware det så, at MBR ikke er blevet manipuleret.

"Når noget forsøger at scanne MBR'en, viser den en perfekt flotte MBR til enhver sikkerhedssoftware," Erasmus sagde.

Så hver gang computeren startes, injicerer Mebroot sig selv i en Windows-proces i hukommelsen, som f.eks. svc.host. Da det er i hukommelse betyder det, at der ikke er skrevet noget på harddisken, en anden undvigende teknik, sagde Erasmus.

Mebroot kan så stjæle enhver information, som den kan lide, og sende den til en ekstern server via HTTP. Netværksanalyseværktøjer som Wireshark vil ikke bemærke, at dataene lækker ud siden Mebroot gemmer trafikken, sagde Erasmus.

Prevx så den nye variant af Mebroot efter at en af ​​virksomhedens forbrugerkunder blev inficeret. Det tog analytikere et par dage at nippe nøjagtigt, hvordan Mebroot klarte at integrere sig i operativsystemet. "Jeg tror, ​​at alle i øjeblikket arbejder på at modificere deres [antimalware] motorer for at finde det," sagde Erasmus.

Og disse virksomheder skal handle hurtigt. Erasmus sagde, at det ser ud til, at tusinder af websteder er blevet hacket til at levere Mebroot til sårbare computere, der ikke har de korrekte patches til deres webbrowsere.

Infektionsmekanismen er kendt som en drev-download. Det sker, når en person besøger et legitimt websted, der er blevet hacket. En gang på webstedet er en usynlig iframe fyldt med en udnyttelsesramme, der begynder at teste for at se om browseren har en sårbarhed. Hvis det er tilfældet, leveres Mebroot, og en bruger oplyser intet.

"Det er ret vildt derude nu," sagde Erasmus. "Overalt hvor du går, har du en chance for at blive smittet."

Det er ukendt, der skrev Mebroot, men det ser ud til, at hackernes mål er at inficere så mange computere som muligt, sagde Erasmus.

Prevx har et selvbetegnende specialiseret sikkerhedsprodukt, der fungerer sammen med antivirusprogrammer til at opdage drive-by browser udnyttelser, adgangskode stjæler, rootkits og rogue antivirus software.

Prevx udgivet 3.0 versionen af ​​sit produkt på onsdag. Softwaren vil registrere malware infektioner gratis, men brugerne skal opgradere for at få fuld fjernelse funktionalitet. Prevx 3.0 vil dog fjerne nogle af de mere onde ondsindede software, herunder Mebroot, samt enhver reklameprogram, kendt som adware, gratis, sagde Erasmus.