Stealthy Rootkit สไลด์ต่อไปภายใต้เรดาร์

เว็บไซต์นับพัน ๆ แห่งมี เป็นซอฟต์แวร์ที่เป็นอันตรายซึ่งซอฟต์แวร์รักษาความปลอดภัยจำนวนมากอาจไม่ได้รับการเตรียมพร้อมสำหรับการจัดการ

ซอฟต์แวร์ที่เป็นอันตรายเป็นรูปแบบใหม่ของ Mebroot ซึ่งเป็นโปรแกรมที่เรียกว่า "rootkit" สำหรับวิธีลับๆที่ซ่อนอยู่ลึกลงไป ระบบปฏิบัติการ Windows กล่าวว่า Jacques Erasmus ผู้อำนวยการฝ่ายวิจัยของ บริษัท รักษาความปลอดภัย Prevx

รุ่นก่อนหน้าของ Mebroot ซึ่งเป็นชื่อของ Symantec ปรากฏตัวครั้งแรกประมาณเดือนธันวาคมปี 2007 และใช้เทคนิคที่รู้จักกันดีในการซ่อนตัว ติดตั้งมาสเตอร์ Boot Record (MBR) ของคอมพิวเตอร์ เป็นรหัสแรกที่คอมพิวเตอร์มองหาเมื่อบูตระบบปฏิบัติการหลังจากที่ BIOS ทำงาน

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

ถ้า MBR อยู่ภายใต้การควบคุมของแฮ็กเกอร์ คอมพิวเตอร์และข้อมูลที่อยู่บนหรือส่งผ่านทางอินเทอร์เน็ต Erasmus กล่าวว่า

ตั้งแต่ Mebroot ปรากฏผู้จำหน่ายระบบรักษาความปลอดภัยได้ปรับแต่งซอฟต์แวร์เพื่อตรวจจับ แต่รุ่นล่าสุดใช้เทคนิคที่ซับซ้อนมากขึ้นเพื่อซ่อนตัวไว้ Erasmus กล่าวว่า

โปรแกรมแทรก Mebroot เข้าไปในฟังก์ชันต่างๆของเคอร์เนลหรือโค้ดหลักของระบบปฏิบัติการ เมื่อมีการดักฟัง Mebroot แล้วมัลแวร์จะทำให้ดูเหมือนว่า MBR ไม่ได้รับการดัดแปลงด้วย

"เมื่อมีบางสิ่งพยายามสแกน MBR จะแสดง MBR ที่ดูดีเยี่ยมสำหรับซอฟต์แวร์รักษาความปลอดภัยใด ๆ " Erasmus กล่าวได้ว่า

จากนั้นทุกครั้งที่มีการบูตเครื่อง Mebroot จะแทรกตัวเองเข้าไปในกระบวนการของ Windows ในหน่วยความจำเช่น svc.host เนื่องจากมันอยู่ในหน่วยความจำหมายความว่าไม่มีอะไรถูกเขียนลงบนฮาร์ดดิสก์เทคนิคการหลบหลีกอีกดวงหนึ่ง Erasmus กล่าวว่า Mebroot สามารถขโมยข้อมูลใด ๆ ที่ชอบและส่งไปยังเซิร์ฟเวอร์ระยะไกลผ่านทาง HTTP ได้ เครื่องมือวิเคราะห์เครือข่ายเช่น Wireshark จะไม่สังเกตเห็นข้อมูลที่รั่วไหลเนื่องจาก Mebroot หลบซ่อนการจราจร Erasmus กล่าวว่า Prevx ได้เห็นรูปแบบใหม่ของ Mebroot หลังจากที่ลูกค้าผู้บริโภครายหนึ่งของ บริษัท ได้ติดไวรัส นักวิเคราะห์ต้องใช้เวลาสักสองสามวันเพื่อให้แน่ใจว่า Mebroot กำลังพยายามฝังลงในระบบปฏิบัติการ "ผมคิดว่าทุกคนในขณะนี้กำลังดำเนินการปรับเปลี่ยนเครื่องมือ [antimalware] เพื่อค้นหา" Erasmus กล่าวว่า

และ บริษัท เหล่านั้นต้องทำหน้าที่อย่างรวดเร็ว Erasmus กล่าวว่าดูเหมือนว่ามีหลายพันเว็บไซต์ถูกแฮ็กเพื่อส่ง Mebroot ไปยังคอมพิวเตอร์ที่มีช่องโหว่ซึ่งไม่มีแพทช์ที่เหมาะสมสำหรับเว็บเบราเซอร์

กลไกการติดไวรัสเรียกว่า drive-by download เกิดขึ้นเมื่อบุคคลเข้าชมเว็บไซต์ที่ถูกต้องตามกฎหมายที่ถูกแฮ็ก เมื่ออยู่ในไซต์ iframe ที่มองไม่เห็นจะเต็มไปด้วยกรอบการใช้ประโยชน์ซึ่งเริ่มทดสอบเพื่อดูว่าเบราว์เซอร์มีช่องโหว่หรือไม่ ถ้าเป็นเช่นนั้น Mebroot จะถูกส่งไปและผู้ใช้จะไม่สังเกตเห็นอะไรเลย

"ตอนนี้มีป่าสวยมาก" Erasmus กล่าว "ทุกที่ที่คุณไปคุณมีโอกาสที่จะติดเชื้อ"

ไม่ทราบว่าใครเป็นคนเขียน Mebroot แต่ดูเหมือนว่าเป้าหมายหนึ่งของแฮ็กเกอร์คือเพียงแค่ติดไวรัสให้มากที่สุดเท่าที่จะทำได้ Erasmus กล่าวว่า ผลิตภัณฑ์รักษาความปลอดภัยที่มีชื่อตัวเองซึ่งทำงานควบคู่ไปกับซอฟต์แวร์ป้องกันไวรัสเพื่อตรวจหาการโจมตีของเบราว์เซอร์โดยใช้เบราว์เซอร์ขโมยรหัสผ่าน rootkits และซอฟต์แวร์ป้องกันไวรัสหลอกลวง

Prevx เปิดตัวผลิตภัณฑ์ 3.0 ในวันพุธ ซอฟต์แวร์จะตรวจจับการติดตั้งมัลแวร์ได้ฟรี แต่ผู้ใช้ต้องอัปเกรดเพื่อให้ได้ฟังก์ชันการลบทั้งหมด อย่างไรก็ตาม Prevx 3.0 จะนำเอาซอฟต์แวร์ที่เป็นอันตรายจำนวนมากออกซึ่ง ได้แก่ Mebroot รวมไปถึงซอฟต์แวร์โฆษณาใด ๆ ที่เรียกว่าแอดแวร์ฟรี Erasmus กล่าวว่า