Kaspersky Lab wykrywa i leczy unikatowego rootkita

Kaspersky Lab, producent rozwiÄ…zaÅ„ do ochrony danych, zaimplementowaÅ‚ wykrywanie i leczenie dla nowej wersji unikatowego rootkita MBR. Nowy wariant Sinowala, szkodliwego programu, który potrafi ukryć swojÄ… obecność poprzez infekowanie sektora MBR (Master Boot Record) na dysku twardym, zostaÅ‚ wykryty przez ekspertów firmy pod koniec marca 2009 roku. Kaspersky Lab jest jednÄ… z pierwszych firm antywirusowych, które zaimplementowaÅ‚y w swoich rozwiÄ…zaniach antywirusowych dla użytkowników indywidualnych zarówno wykrywanie, jak i skuteczne leczenie dla tej nowej modyfikacji Sinowala.

W 2008 roku analitycy z firmy Kaspersky Lab podawali szczegóÅ‚owe informacje o innych wariantach tego rootkita: w raporcie na temat ewolucji szkodliwego oprogramowania w pierwszym kwartale oraz w artykule „Bootkit: wyzwanie 2008 roku”. Jednak nowa wersja zupeÅ‚nie zaskoczyÅ‚a analityków. W przeciwieÅ„stwie do wczeÅ›niejszych, ostatnia modyfikacja, Backdoor.Win32.Sinowal, przenika znacznie gÅ‚Ä™biej do systemu w celu unikniÄ™cia wykrycia. Wykorzystywana przez ten wariant metoda ukrywania siÄ™ polega na przechwytywaniu obiektów na najniższym poziomie systemu operacyjnego.

CyberprzestÄ™pcy po raz pierwszy zastosowali tak wyrafinowane technologie. To wyjaÅ›nia, dlaczego żadne produkty antywirusowe nie potrafiÅ‚y wyleczyć komputerów zainfekowanych nowÄ… modyfikacjÄ… Sinowala, ani nawet wykryć tego szkodnika, gdy pojawiÅ‚ siÄ™ po raz pierwszy. Gdy tylko bootkit przeniknie do systemu, ukrywa dziaÅ‚ania wykonywane przez szkodliwÄ… funkcjÄ™, których celem jest kradzież danych użytkownika oraz różnych informacji dotyczÄ…cych konta.

Wtargnięcie za pośrednictwem programu Adobe Acrobat Reader

WedÅ‚ug ekspertów z firmy Kaspersky Lab, w ostatnim miesiÄ…cu bootkit aktywnie rozprzestrzeniaÅ‚ siÄ™ z wielu zainfekowanych stron, wykorzystujÄ…c różne luki w zabezpieczeniach. W szczególnoÅ›ci, bootkit ten może przeniknąć do systemu poprzez lukÄ™ w zabezpieczeniach programu Adobe Acrobat Reader, która pozwala na pobranie zainfekowanego pliku PDF bez wiedzy użytkownika. Zaimplementowanie wykrywania i leczenia dla tego bootkita, który nadal rozprzestrzenia siÄ™ za poÅ›rednictwem Internetu, jest najtrudniejszym wyzwaniem, z jakim od wielu lat zmagajÄ… siÄ™ specjaliÅ›ci ds. zwalczania wirusów.

Aby sprawdzić, czy komputer zostaÅ‚ zainfekowany bootkitem, użytkownicy muszÄ… uaktualnić antywirusowe bazy danych i przeprowadzić peÅ‚ne skanowanie systemu. W przypadku wykrycia bootkita, konieczne bÄ™dzie powtórne uruchomienie komputera podczas procesu leczenia. Ponadto, specjaliÅ›ci z firmy Kaspersky Lab zalecajÄ… użytkownikom zainstalowanie wszystkich niezbÄ™dnych Å‚at w celu usuniÄ™cia luk w zabezpieczeniach programu Acrobat Reader oraz wszystkich wykorzystywanych przeglÄ…darkach.