Stealthy Rootkit Slides Videre under Radar

Tusenvis av nettsteder har er rigget for å levere et kraftig stykke ondsinnet programvare som mange sikkerhetsprodukter kan være uforberedt å håndtere.

Den ondsinnede programvaren er en ny variant av Mebroot, et program kjent som en "rootkit" for den smarte måten den gjemmer seg dypt i Windows operativsystem, sa Jacques Erasmus, forskningsdirektør for sikkerhetsselskapet Prevx.

En tidligere versjon av Mebroot, som Symantec heter den, oppsto først i desember 2007 og brukte en kjent teknikk for å bli skjult. Det infiserer datamaskinens Master Boot Record (MBR). Det er den første koden en datamaskin ser etter når du starter operativsystemet etter at BIOS kjører.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Hvis MBR er under hackers kontroll, er det hele datamaskin og data som er på den eller overført via Internett, sa Erasmus.

Siden Mebroot dukket opp, har sikkerhetsleverandører raffinert sin programvare for å oppdage det. Men den nyeste versjonen bruker mye mer sofistikerte teknikker for å holde seg skjult, sier Erasmus.

Mebroot setter inn programkroker i ulike funksjoner i kjernen, eller operativsystemets kjernekode. Når Mebroot har tatt tak i det, viser malware det så ut som at MBR ikke har blitt manipulert.

"Når noe prøver å skanne MBR, viser det en perfekt god MBR til alle sikkerhetsprogrammer," Erasmus sa.

Så hver gang datamaskinen startes, injiserer Mebroot seg selv i en Windows-prosess i minnet, for eksempel svc.host. Siden det er i minnet betyr det at ingenting er skrevet til harddisken, en annen unnvikende teknikk, sa Erasmus.

Mebroot kan da stjele all informasjon som den liker og sende den til en ekstern server via HTTP. Nettverksanalyseverktøy som Wireshark vil ikke legge merke til at dataene lekker ut siden Mebroot gjemmer trafikken, sa Erasmus.

Prevx så den nye varianten av Mebroot etter at en av konsumentkunderne ble smittet. Det tok analytikere et par dager å spike nøyaktig hvordan Mebroot klarte å legge seg inn i operativsystemet. "Jeg tror at alle for øyeblikket jobber med å modifisere deres [antimalware] motorer for å finne den," sa Erasmus.

Og disse selskapene må handle raskt. Erasmus sa at det ser ut til at tusenvis av nettsteder har blitt hacket for å levere Mebroot til sårbare datamaskiner som ikke har de riktige oppdateringene for nettleserne.

Infeksjonsmekanismen er kjent som en nedlasting. Det oppstår når en person besøker et legitimt nettsted som er blitt hacket. En gang på nettstedet er en usynlig iframe lastet med et utnyttelsesramme som begynner å teste for å se om nettleseren har et sikkerhetsproblem. I så fall blir Mebroot levert, og en bruker oppdager ingenting.

"Det er ganske vill der ute nå," sa Erasmus. "Uansett hvor du går, har du sjansen til å bli smittet."

Det er ukjent som skrev Mebroot, men det ser ut som at et mål for hackerne er å bare smitte så mange datamaskiner som mulig, sier Erasmus.

Prevx har et selvbetjent spesialisert sikkerhetsprodukt som fungerer sammen med antivirusprogramvare for å oppdage nettleserutnyttelser, passordstøvere, rootkits og rogue antivirusprogramvare.

Prevx ga ut 3.0 versjonen av produktet sitt onsdag. Programvaren vil oppdage malware infeksjoner gratis, men brukerne må oppgradere for å få full fjerning funksjonalitet. Imidlertid vil Prevx 3.0 fjerne noen av de mer onde ondsinnede programmene, inkludert Mebroot, samt reklame programvare, kjent som adware, gratis, sa Erasmus.