Novi rootkit ugrožava 64-bitne Windows sisteme

Opisi virusa, 19.05.2011, 12:12 PM

Novi rootkit ugrožava 64-bitne Windows sisteme

Kaspersky Lab otkrila je novi višenamenski rootkit (vidi u Rečniku: rootkit) koji ugrožava i 32-bitne i 64-bitne Windows sisteme. Glavna karakteristika 64-bitnog rootkita je da on ne pokušava da zaobiđe PatchGuard zaštitu za kernel Windows-a (vidi u Rečniku: kernel), već umesto toga koristi poseban digitalni potpis za programere softvera. Rootkit se distribuira pomoću Trojanca downloader-a, koji pored toga pokušava da instalira i druge štetne programe. Stručnjaci Kaspersky Lab otkrili su jedan takav downloader koji između ostalog pokušava da preuzme i instalira lažni antivirusni program za Mac OS X operativni sistem. Naravno, ovakav program ne može da radi u Windows okruženju, on ukazuje na rastuće interesovanje sajber-kriminalaca i za druge platforme osim za Windows.

Rootkit-ovi su opasni programi koji se obično pojavljuju u formi drajvera i mogu da rade na nivou kernela operativnog sistema i da se učitavaju prilikom pokretanja sistema. To je ono što posao detekcije rootkit-ova čini znatno otežanim. Rootkit o kojem je ovde reč se širi pomoću downloader-a, koji koristi paket exploit-a (vidi u Rečniku: exploit) pod nazivom “BlackHole Exploit Kit”. Najčešće komjuteri korisnika bivaju zaraženi prilikom posete veb sajtovima na kojima se nalazi downloader. Brojne ranjivosti u programima kao što su Java Runtime Enviroment i Adobe Reader koriste se za napad na računar. Downloader se koristi za infekciju i 32-bitnih i 64-bitnih Windows sistema jednim od dva odgovarajuća rootkit-ova.

“64-bitni drajver je potpisan takozvanim “probnim digitalnim potpisom”. Ukoliko Windows Vista ili novije verzije budu pokrenute u “TESTSIGNING” modu, programi mogu pokrenuti drajvere potpisane takvom signaturom. Microsoft je ovim omogućio programerima da testiraju svoje programe. Sajber-kriminalci su takođe iskoristili ovu mogućnost za pokretanje svojih drajvera bez legitimnog potpisa,” kaže Aleksander Gostev, glavni eskpert za bezbednost u kompaniji Kaspersky Lab. “Ovo je još jedan primer rootkit-a koji ne mora da zaobilazi PatchGuard zaštitu sistema uključujući i Windows x64 sisteme”.

Oba rootkit-a imaju slične funkcionalnosti. Oni blokiraju pokušaje korisnika da instaliraju i pokrenu poznate antivirusne programe i zaštite se obezbeđujući na taj način monitoring nad sistemom. Pošto rootkit čini sistem ranjivim na napade, downloader pokušava da preuzme i pokrene druge opasne programe, kao što je pomenuti lažni antivirus za Mac OS X. Ovaj antivirus poznat je pod nazivom Hoax.OSX.Defma.f i on je najnovija opasnost za Mac OS X koji sve češće biva meta sajber-kriminalaca.

Ovaj primer pokazuje da štetni softver postaje sve kompleksniji, uključujući različite komponente koje služe za različite svrhe. Ovakvi programi predstavljaju opasnost za različite verzije operativnih sistema, pa čak i za različite platforme.

Iz kompanije kažu da su njihovi antivirusni programi u stanju da otkriju i neutrališu pretnju koju predstavlja Trojanac downloader označen kao Trojan-Downloader.Win32.Necurs.a i odgovarajući rootkit programi - Rootkit.Win32.Necurs.a / Rootkit.Win64.Necurs.a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje