Novi rootkit ugrožava 64-bitne Windows sisteme

Opisi virusa, 19.05.2011, 12:12 PM

Novi rootkit ugrožava 64-bitne Windows sisteme

Kaspersky Lab otkrila je novi višenamenski rootkit (vidi u Rečniku: rootkit) koji ugrožava i 32-bitne i 64-bitne Windows sisteme. Glavna karakteristika 64-bitnog rootkita je da on ne pokušava da zaobiđe PatchGuard zaštitu za kernel Windows-a (vidi u Rečniku: kernel), već umesto toga koristi poseban digitalni potpis za programere softvera. Rootkit se distribuira pomoću Trojanca downloader-a, koji pored toga pokušava da instalira i druge štetne programe. Stručnjaci Kaspersky Lab otkrili su jedan takav downloader koji između ostalog pokušava da preuzme i instalira lažni antivirusni program za Mac OS X operativni sistem. Naravno, ovakav program ne može da radi u Windows okruženju, on ukazuje na rastuće interesovanje sajber-kriminalaca i za druge platforme osim za Windows.

Rootkit-ovi su opasni programi koji se obično pojavljuju u formi drajvera i mogu da rade na nivou kernela operativnog sistema i da se učitavaju prilikom pokretanja sistema. To je ono što posao detekcije rootkit-ova čini znatno otežanim. Rootkit o kojem je ovde reč se širi pomoću downloader-a, koji koristi paket exploit-a (vidi u Rečniku: exploit) pod nazivom “BlackHole Exploit Kit”. Najčešće komjuteri korisnika bivaju zaraženi prilikom posete veb sajtovima na kojima se nalazi downloader. Brojne ranjivosti u programima kao što su Java Runtime Enviroment i Adobe Reader koriste se za napad na računar. Downloader se koristi za infekciju i 32-bitnih i 64-bitnih Windows sistema jednim od dva odgovarajuća rootkit-ova.

“64-bitni drajver je potpisan takozvanim “probnim digitalnim potpisom”. Ukoliko Windows Vista ili novije verzije budu pokrenute u “TESTSIGNING” modu, programi mogu pokrenuti drajvere potpisane takvom signaturom. Microsoft je ovim omogućio programerima da testiraju svoje programe. Sajber-kriminalci su takođe iskoristili ovu mogućnost za pokretanje svojih drajvera bez legitimnog potpisa,” kaže Aleksander Gostev, glavni eskpert za bezbednost u kompaniji Kaspersky Lab. “Ovo je još jedan primer rootkit-a koji ne mora da zaobilazi PatchGuard zaštitu sistema uključujući i Windows x64 sisteme”.

Oba rootkit-a imaju slične funkcionalnosti. Oni blokiraju pokušaje korisnika da instaliraju i pokrenu poznate antivirusne programe i zaštite se obezbeđujući na taj način monitoring nad sistemom. Pošto rootkit čini sistem ranjivim na napade, downloader pokušava da preuzme i pokrene druge opasne programe, kao što je pomenuti lažni antivirus za Mac OS X. Ovaj antivirus poznat je pod nazivom Hoax.OSX.Defma.f i on je najnovija opasnost za Mac OS X koji sve češće biva meta sajber-kriminalaca.

Ovaj primer pokazuje da štetni softver postaje sve kompleksniji, uključujući različite komponente koje služe za različite svrhe. Ovakvi programi predstavljaju opasnost za različite verzije operativnih sistema, pa čak i za različite platforme.

Iz kompanije kažu da su njihovi antivirusni programi u stanju da otkriju i neutrališu pretnju koju predstavlja Trojanac downloader označen kao Trojan-Downloader.Win32.Necurs.a i odgovarajući rootkit programi - Rootkit.Win32.Necurs.a / Rootkit.Win64.Necurs.a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sa ChatGPT napravljen polimorfni malver

Sa ChatGPT napravljen polimorfni malver

Istraživač HYAS instituta i stručnjak za sajber bezbednost, Džef Sims, razvio je novi malver koji pokreće ChatGPT pod nazivom Blackmamba. U janu... Dalje

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preu... Dalje

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

Nevidiljivi UEFI (Unified Extensible Firmware Interface) bootkit pod nazivom BlackLotus postao je prvi poznati malver koji je u stanju da zaobiđe Sec... Dalje

Piratski programi za macOS inficiraju računare opasnim kripto malverom

Piratski programi za macOS inficiraju računare opasnim kripto malverom

Final Cut Pro i druge piratske macOS aplikacije na Pirate Bay su inficirane do sada neotkrivenim malverom. Kada ih žrtve preuzmu, zaraženi Apple ure... Dalje

Opasni ransomware Clop sada inficira i Linux sisteme

Opasni ransomware Clop sada inficira i Linux sisteme

Istraživači iz firme SentinelOne 26. decembra primetili su prvu varijantu ransomwarea Clop (Cl0p) koja cilja na Linux sisteme. Clop se prvi put poja... Dalje