Novi rootkit ugrožava 64-bitne Windows sisteme

Opisi virusa, 19.05.2011, 12:12 PM

Novi rootkit ugrožava 64-bitne Windows sisteme

Kaspersky Lab otkrila je novi višenamenski rootkit (vidi u Rečniku: rootkit) koji ugrožava i 32-bitne i 64-bitne Windows sisteme. Glavna karakteristika 64-bitnog rootkita je da on ne pokušava da zaobiđe PatchGuard zaštitu za kernel Windows-a (vidi u Rečniku: kernel), već umesto toga koristi poseban digitalni potpis za programere softvera. Rootkit se distribuira pomoću Trojanca downloader-a, koji pored toga pokušava da instalira i druge štetne programe. Stručnjaci Kaspersky Lab otkrili su jedan takav downloader koji između ostalog pokušava da preuzme i instalira lažni antivirusni program za Mac OS X operativni sistem. Naravno, ovakav program ne može da radi u Windows okruženju, on ukazuje na rastuće interesovanje sajber-kriminalaca i za druge platforme osim za Windows.

Rootkit-ovi su opasni programi koji se obično pojavljuju u formi drajvera i mogu da rade na nivou kernela operativnog sistema i da se učitavaju prilikom pokretanja sistema. To je ono što posao detekcije rootkit-ova čini znatno otežanim. Rootkit o kojem je ovde reč se širi pomoću downloader-a, koji koristi paket exploit-a (vidi u Rečniku: exploit) pod nazivom “BlackHole Exploit Kit”. Najčešće komjuteri korisnika bivaju zaraženi prilikom posete veb sajtovima na kojima se nalazi downloader. Brojne ranjivosti u programima kao što su Java Runtime Enviroment i Adobe Reader koriste se za napad na računar. Downloader se koristi za infekciju i 32-bitnih i 64-bitnih Windows sistema jednim od dva odgovarajuća rootkit-ova.

“64-bitni drajver je potpisan takozvanim “probnim digitalnim potpisom”. Ukoliko Windows Vista ili novije verzije budu pokrenute u “TESTSIGNING” modu, programi mogu pokrenuti drajvere potpisane takvom signaturom. Microsoft je ovim omogućio programerima da testiraju svoje programe. Sajber-kriminalci su takođe iskoristili ovu mogućnost za pokretanje svojih drajvera bez legitimnog potpisa,” kaže Aleksander Gostev, glavni eskpert za bezbednost u kompaniji Kaspersky Lab. “Ovo je još jedan primer rootkit-a koji ne mora da zaobilazi PatchGuard zaštitu sistema uključujući i Windows x64 sisteme”.

Oba rootkit-a imaju slične funkcionalnosti. Oni blokiraju pokušaje korisnika da instaliraju i pokrenu poznate antivirusne programe i zaštite se obezbeđujući na taj način monitoring nad sistemom. Pošto rootkit čini sistem ranjivim na napade, downloader pokušava da preuzme i pokrene druge opasne programe, kao što je pomenuti lažni antivirus za Mac OS X. Ovaj antivirus poznat je pod nazivom Hoax.OSX.Defma.f i on je najnovija opasnost za Mac OS X koji sve češće biva meta sajber-kriminalaca.

Ovaj primer pokazuje da štetni softver postaje sve kompleksniji, uključujući različite komponente koje služe za različite svrhe. Ovakvi programi predstavljaju opasnost za različite verzije operativnih sistema, pa čak i za različite platforme.

Iz kompanije kažu da su njihovi antivirusni programi u stanju da otkriju i neutrališu pretnju koju predstavlja Trojanac downloader označen kao Trojan-Downloader.Win32.Necurs.a i odgovarajući rootkit programi - Rootkit.Win32.Necurs.a / Rootkit.Win64.Necurs.a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje