Novi rootkit ugrožava 64-bitne Windows sisteme
Opisi virusa, 19.05.2011, 12:12 PM
![Novi rootkit ugrožava 64-bitne Windows sisteme](/thumbs/v2_4959_rootkit.jpg)
Kaspersky Lab otkrila je novi višenamenski rootkit (vidi u Rečniku: rootkit) koji ugrožava i 32-bitne i 64-bitne Windows sisteme. Glavna karakteristika 64-bitnog rootkita je da on ne pokušava da zaobiđe PatchGuard zaštitu za kernel Windows-a (vidi u Rečniku: kernel), već umesto toga koristi poseban digitalni potpis za programere softvera. Rootkit se distribuira pomoću Trojanca downloader-a, koji pored toga pokušava da instalira i druge štetne programe. Stručnjaci Kaspersky Lab otkrili su jedan takav downloader koji između ostalog pokušava da preuzme i instalira lažni antivirusni program za Mac OS X operativni sistem. Naravno, ovakav program ne može da radi u Windows okruženju, on ukazuje na rastuće interesovanje sajber-kriminalaca i za druge platforme osim za Windows.
Rootkit-ovi su opasni programi koji se obično pojavljuju u formi drajvera i mogu da rade na nivou kernela operativnog sistema i da se učitavaju prilikom pokretanja sistema. To je ono što posao detekcije rootkit-ova čini znatno otežanim. Rootkit o kojem je ovde reč se širi pomoću downloader-a, koji koristi paket exploit-a (vidi u Rečniku: exploit) pod nazivom “BlackHole Exploit Kit”. Najčešće komjuteri korisnika bivaju zaraženi prilikom posete veb sajtovima na kojima se nalazi downloader. Brojne ranjivosti u programima kao što su Java Runtime Enviroment i Adobe Reader koriste se za napad na računar. Downloader se koristi za infekciju i 32-bitnih i 64-bitnih Windows sistema jednim od dva odgovarajuća rootkit-ova.
“64-bitni drajver je potpisan takozvanim “probnim digitalnim potpisom”. Ukoliko Windows Vista ili novije verzije budu pokrenute u “TESTSIGNING” modu, programi mogu pokrenuti drajvere potpisane takvom signaturom. Microsoft je ovim omogućio programerima da testiraju svoje programe. Sajber-kriminalci su takođe iskoristili ovu mogućnost za pokretanje svojih drajvera bez legitimnog potpisa,” kaže Aleksander Gostev, glavni eskpert za bezbednost u kompaniji Kaspersky Lab. “Ovo je još jedan primer rootkit-a koji ne mora da zaobilazi PatchGuard zaštitu sistema uključujući i Windows x64 sisteme”.
Oba rootkit-a imaju slične funkcionalnosti. Oni blokiraju pokušaje korisnika da instaliraju i pokrenu poznate antivirusne programe i zaštite se obezbeđujući na taj način monitoring nad sistemom. Pošto rootkit čini sistem ranjivim na napade, downloader pokušava da preuzme i pokrene druge opasne programe, kao što je pomenuti lažni antivirus za Mac OS X. Ovaj antivirus poznat je pod nazivom Hoax.OSX.Defma.f i on je najnovija opasnost za Mac OS X koji sve češće biva meta sajber-kriminalaca.
Ovaj primer pokazuje da štetni softver postaje sve kompleksniji, uključujući različite komponente koje služe za različite svrhe. Ovakvi programi predstavljaju opasnost za različite verzije operativnih sistema, pa čak i za različite platforme.
Iz kompanije kažu da su njihovi antivirusni programi u stanju da otkriju i neutrališu pretnju koju predstavlja Trojanac downloader označen kao Trojan-Downloader.Win32.Necurs.a i odgovarajući rootkit programi - Rootkit.Win32.Necurs.a / Rootkit.Win64.Necurs.a.
![Kaspersky](/s1n.jpg)
Izdvojeno
U toku je operacija čišćenja hiljade računara od malvera PlugX
![U toku je operacija čišćenja hiljade računara od malvera PlugX](/thumbs/v1_8836_screenshot-images.unsplash.com-2024.07.png)
Uoči Olimpijade, francuske vlasti čine sve da sa zaraženih uređaja u zemlji uklone malver PlugX koji se koristi za špijunažu. Operaciju sprovodi... Dalje
Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža
![Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža](/thumbs/v2_6340_philipp-katzenberger-iIJrUoeRoCQ-unsplash (9).jpg)
Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje
Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka
![Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka](/thumbs/v2_4639_pexels-padrinan-1591062.jpg)
Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje
Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa
![Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa](/thumbs/v2_9428_sumudu-mohottige-bIgpii04UIg-unsplash (2).jpg)
Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje
Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace
![Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace](/thumbs/v1_3266_GDATA_Badspace_InfectionChain.png)
Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje
Pratite nas
Nagrade