PandaLabs wykryło trojany przeprowadzające

Laboratorium PandaLabs wykryÅ‚o nowy sposób przeprowadzania ataków z wykorzystaniem rootkitów. Rootkity ukrywajÄ… siÄ™, zastÄ™pujÄ…c gÅ‚ówny rekord startowy (master boot record - MBR), czyli pierwszy sektor dysku twardego, zmodyfikowanÄ… wersjÄ…, która przeprowadza szkodliwe dziaÅ‚ania.

Laboratorium PandaLabs, specjalizujÄ…ce siÄ™ w wykrywaniu i analizie zÅ‚oÅ›liwego oprogramowania, wykryÅ‚o trojany, które zawierajÄ… m.in. rootkity MBRtool.A, MBRtool.B, MBRtool.C. Rootkity te zostaÅ‚y zaprojektowane w taki sposób, aby zastÄ™powaÅ‚y gÅ‚ówny rekord startowy (master boot record - MBR), czyli pierwszy sektor dysku twardego, wÅ‚asnÄ…, zmodyfikowanÄ… wersjÄ…. SpecjaliÅ›ci z PandaLabs podkreÅ›lajÄ…, że to rewolucja w zastosowaniu rootkitów, ponieważ wykrycie powiÄ…zanego z nimi zÅ‚oÅ›liwego kodu staje siÄ™ jeszcze trudniejsze lub praktycznie niemożliwe. „JedynÄ… formÄ… obrony jest wykrycie tych rootkitów, zanim zdążą zainfekować sektor MBR. Podobnych zÅ‚oÅ›liwych kodów bÄ™dzie w przyszÅ‚oÅ›ci coraz wiÄ™cej i dlatego niezbÄ™dne staje siÄ™ użycie technologii proaktywnych, które sÄ… w stanie wykrywać zagrożenia bez uprzedniej identyfikacji, czyli porównywania z bazÄ… sygnatur” – twierdzi Piotr Walas, dyrektor techniczny Panda Security w Polsce.

Podstępne rootkity

CyberprzestÄ™pcy chÄ™tnie korzystajÄ… z rootkitów, ponieważ sÅ‚użą one do ukrywania aktywnoÅ›ci innych zÅ‚oÅ›liwych programów, przez co ich wykrycie staje siÄ™ trudniejsze. Dotychczas rootkity byÅ‚y instalowane w procesach systemowych, ale nowe, wykryte ostatnio przez laboratorium PandaLabs, odmiany instalowane sÄ… na tej części dysku twardego, która jest uruchamiana przed zaÅ‚adowaniem systemu operacyjnego. DotÄ…d rootkity byÅ‚y wiÄ™c stosowane do ukrywania rozszerzeÅ„ lub procesów, a teraz potrafiÄ… bezpoÅ›rednio oszukiwać systemy. Ich lokalizacja gwarantuje, że użytkownik komputera nie zauważy żadnych nieprawidÅ‚owoÅ›ci w procesach systemowych, a rootkit zaÅ‚adowany do pamiÄ™ci bÄ™dzie stale monitorowaÅ‚ dostÄ™p do dysku i sprawiaÅ‚, że wszelkie zÅ‚oÅ›liwe oprogramowanie pozostanie niewidoczne dla systemu. Jeżeli wiÄ™c taki rootkit zostanie uruchomiony w systemie, wykona on kopiÄ™ aktualnego MBR, modyfikujÄ…c oryginaÅ‚ za pomocÄ… szkodliwych instrukcji. To oznacza, że w przypadku próby uzyskania dostÄ™pu do gÅ‚ównego rekordu startowego, rootkit dokona przekierowania na pierwotnÄ… wersjÄ™, uniemożliwiajÄ…c użytkownikom lub aplikacjom znalezienie jakichkolwiek podejrzanych elementów. Tymczasem przeprowadzone przez rootkity modyfikacje sprawiÄ…, że po wÅ‚Ä…czeniu komputera uruchamiany jest zafaÅ‚szowany MBR, zanim zaÅ‚adowany zostanie system operacyjny. NastÄ™pnie rootkit uruchamia pozostaÅ‚Ä… część wÅ‚asnego kodu, ukrywajÄ…c tym samym swojÄ… obecność, a także wszelkie powiÄ…zane ze sobÄ… zÅ‚oÅ›liwe kody.

Jak się uchronić przed najnowszymi rootkitami?

Najnowsze zagrożenia sÄ… wprawdzie bardzo trudne do wykrycia, ale istniejÄ… sposoby, by siÄ™ przed nimi uchronić. Przede wszystkim nie należy uruchamiać żadnych plików nieznanego pochodzenia. JeÅ›li jednak zdarzy siÄ™, że komputer zostanie zainfekowany rootkitami nowego typu, w celu ich usuniÄ™cia należy uruchomić komputer za pomocÄ… startowej pÅ‚yty CD, aby uniknąć uruchomienia MBR. NastÄ™pnie trzeba przywrócić prawidÅ‚owy MBR, korzystajÄ…c z narzÄ™dzia typu fixmbr dostÄ™pnego w konsoli przywracania Windows, o ile zainstalowano ten system operacyjny. „Rootkity mogÄ… być groźne także dla innych platform np. Linux, ponieważ ich dziaÅ‚anie jest niezależne od systemu operacyjnego zainstalowanego na komputerze” - dodaje Piotr Walas z Panda Security – „Nasze prognozy, że w 2008 roku cyberprzestÄ™pcy zainteresujÄ… siÄ™ nowymi platformami zaczynajÄ… siÄ™ wiÄ™c już sprawdzać”.