Руткиты научились прятаться как следует

Новый «троянский конь» настолько хорошо прячется, что, по мнению некоторых экспертов, открывает новую главу в их войне с авторами вредоносного кода.

Вредитель, которого Symantec называет Rustock, а F-Secure — Mailbot.AZ, использует методы руткитов, чтобы избежать обнаружения средствами безопасности. «Его можно считать первым из руткитов нового поколения, — писал в блоге в конце прошлого месяца инженер по безопасности Symantec Элиа Флорио. — Rustock.A представляет собой комбинацию старых методов и новых идей, которые в сочетании рождают вредоносное ПО, достаточно скрытное, чтобы оставаться необнаруженным многими детекторами руткитов».

Руткиты считаются угрозой нового типа. Они применяются для внесения в систему изменений с целью скрыть ПО, которое может быть вредоносным. В случае Rustock, или Mailbot.AZ, технология руткита применялась для того, чтобы спрятать троянского коня, открывающего лазейку в зараженную систему, передавая ее в полное распоряжение злоумышленника.

В ходе продолжающейся гонки с производителями ПО безопасности создатели этого последнего руткита, похоже, хорошо изучили внутреннее устройство инструментов защиты, говорит Крейг Шмага, менеджер по исследованию вирусов McAfee, которая называет данный руткит PWS-JM.

«Секьюрити-фирмы стараются оставаться на шаг впереди злоумышленников, но у тех уже есть технология, которую предлагают поставщики средств защиты, — говорит он. — Они объединили разные методы, что делает эту угрозу особенно опасной. Они хорошо поработали над тем, чтобы замести следы».

Сочетание методов укрытия делает Rustock «абсолютно невидимым после установки на целевом компьютере», даже если на нем работает ранняя версия Windows Vista», пишет Флорио из Symantec. «Мы считаем это выдающимся примером сокрытия вредоносного кода».

Чтобы избежать обнаружения, Rustock не запускает системные процессы, а исполняет свой код внутри потоков драйверов и ядра. Вместо скрытых файлов он использует чередующиеся потоки данных и избегает интерфейсов прикладных программ. Современные инструменты обнаружения ищут системные процессы, скрытые файлы и цепляются за API.

Проверки на целостность некоторых структур ядра, выполняемые детекторами руткитов, и их попытки обнаружить скрытые драйверы в случае Rustock также ни к чему не приводят. Более того, драйвер SYS, который использует руткит, полиморфичен и от копии к копии изменяет свой код.

И все же вероятность быть атакованным этим руткитом и вредоносным троянским конем, который он переносит, невелика. «О нем пишут не из-за его активности, а потому, что он создает большие проблемы для существующих инструментов обнаружения руткитов», — говорит Шмага. Symantec и F-Secure также отмечают, что данная угроза не получила широкого распространения.

F-Secure обновила свой инструмент обнаружения руткитов BlackLight, который теперь позволяет обнаруживать существующие версии вредоносного кода. Symantec и McAfee еще работают над средствами обнаружения и удаления руткитов из компьютеров.

Предыдущие публикации:

2006-07-18

Писатели вирусов используют методы open source

Обсуждение и комментарии

	Геннадий - coroziayandex.ru 21 Jul 2006 11:06 PM
Такого же "плана", "похожие" руткиты. "Разработали" и уже "внедряют"(правда пока, с переменным успехом). И "ребятишки"(большинство, бывшие "нечестные" хаккеры)из Спец.служб Лукашенко. Правда их "опасность".На настоящее время, в основном, "лежит" в "плоскости". Перехвата информации с одновременной "блокировкой" "Неправильных" сайтов. А также. Для "непослушных"(?!). Удалённое "уничтожение" доступа в Интернет или вывод системмы(фальшивые ошибки) на определённое время.

	eXOR 22 Jul 2006 12:14 AM
Ура. Наконец-то подбираемся к тому уровню на котором были OneHalf и DieHard извраты с низкоуровневым кодом, самомодифицирующийся код, crypt. Наконец то вирусописатели опять будут толковым народом, а не пионерами-дельфистами со своими "Love Letter"'ами.

← июнь 2006

15 17 18 19 20 21 23 24 25

август 2006 →