Terjedőben a 64 bites rootkitek
Az Alureon legújabb variánsa már a 64 bites rendszereket sem kíméli.
Kategóriák: Biztonság, IT-védelem
Szerző: Kristóf Csaba
2010. augusztus 30.
Az Alureon trójai idén már egyszer komoly fejtörést okozott a Microsoftnak és a biztonsági cégeknek. A TDL, TLD3 és Tidserv nevekkel is illetett kártékony program ugyanis februárban az MS10-015-ös biztonsági közleményhez tartozó hibajavítások telepítése után a fertőzött számítógépek összeomlását eredményezte. Akkor a Microsoft átmenetileg felfüggesztette e frissítések letölthetőségét. A vizsgálatok során kiderült, hogy alapvetően nem azzal a javítással volt probléma, amely többek között egy tizenhét éve létező sérülékenységet igyekezett megszüntetni. A nem várt rendszerösszeomlások ugyanis kizárólag azokon a számítógépeken következtek be, amelyek korábban megfertőződtek az Alureon trójaival, és az ahhoz tartozó rootkittel. Ez februárban még kizárólag a 32 bites Windows operációs rendszerek esetében tudott problémákat okozni. A legújabb variánsa azonban már a 64 bites környezetekben is elemében érzi magát.
Elsőként a Prevx kutatói jelezték, hogy az Alureon jelentős mértékben fejlődött, és már a 64 bites operációs rendszerek esetében is veszélyt jelent. Nem sokkal később a Symantec is megerősítette a trójai új variánsának létezését és terjedését. "Egy új korszak virradt ránk: a 64 bites rootkitek korszaka" - foglalta össze tömören a véleményét Marco Giuliani, a Prevx kutatója. Giuliani hozzátette, hogy az új Alureont az első, vadon terjedő, 64 bites, kernelmódú rootkitként tartják számon.
A Prevx eddigi vizsgálataiból kiderült, hogy az Alureon elsősorban kártékony - többnyire felnőtteknek szóló - weboldalakon bukkant fel, de az interneten már elérhető különféle exploit csomagok részeként is. A rootkit két fontos védelmi mechanizmust képes megkerülni a Windows esetében, ugyanis a Kernel Mode Code Signing és a Kernel Patch Protection (más néven PatchGuard) technikák sem képesek az útjába állni. E két technológia pedig nagyon fontos szerepet kellene, hogy betöltsön a kernelt fenyegetető kártékony kódokkal szemben. „A Kernel Patch Protection és a kernel módban futó driverek digitális aláírás-ellenőrzésének megkerüléséhez a rootkit a merevlemezen található MBR-t (Master Boot Record) is módosítja annak érdekében, hogy a Windows indulásakor a különféle eljárásokat megfigyelhesse, és betölthesse a saját driverét" - mondta Giuliani. A szakember szerint az MBR módosításával a vírusvédelmet is megnehezíti a kártékony program. Sőt a Symantec arra is felhívta a figyelmet, hogy a trójai egyes állományait a merevlemezen titkosítottan tárolja, ami tovább bonyolítja a felismerését és az eltávolítását.
A Prevx, a Symantec és nyilvánvalóan a többi antivírus-fejlesztő cég is gőzerővel vizsgálja az Alureon legújabb variánsát annak érdekében, hogy megfelelő védelmet lehessen ellene kialakítani.
A hír testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
DocHoliday
2010-08-31 09:54:59