Terjedőben a 64 bites rootkitek

Elsőként a Prevx kutatói jelezték, hogy az Alureon jelentős mértékben fejlődött, és már a 64 bites operációs rendszerek esetében is veszélyt jelent. Nem sokkal később a Symantec is megerősítette a trójai új variánsának létezését és terjedését. "Egy új korszak virradt ránk: a 64 bites rootkitek korszaka" - foglalta össze tömören a véleményét Marco Giuliani, a Prevx kutatója. Giuliani hozzátette, hogy az új Alureont az első, vadon terjedő, 64 bites, kernelmódú rootkitként tartják számon.

A Prevx eddigi vizsgálataiból kiderült, hogy az Alureon elsősorban kártékony - többnyire felnőtteknek szóló - weboldalakon bukkant fel, de az interneten már elérhető különféle exploit csomagok részeként is.  A rootkit két fontos védelmi mechanizmust képes megkerülni a Windows esetében, ugyanis a Kernel Mode Code Signing és a Kernel Patch Protection (más néven PatchGuard) technikák sem képesek az útjába állni. E két technológia pedig nagyon fontos szerepet kellene, hogy betöltsön a kernelt fenyegetető kártékony kódokkal szemben. „A Kernel Patch Protection és a kernel módban futó driverek digitális aláírás-ellenőrzésének megkerüléséhez a rootkit a merevlemezen található MBR-t (Master Boot Record) is módosítja annak érdekében, hogy a Windows indulásakor a különféle eljárásokat megfigyelhesse, és betölthesse a saját driverét" - mondta Giuliani. A szakember szerint az MBR módosításával a vírusvédelmet is megnehezíti a kártékony program. Sőt a Symantec arra is felhívta a figyelmet, hogy a trójai egyes állományait a merevlemezen titkosítottan tárolja, ami tovább bonyolítja a felismerését és az eltávolítását.

A Prevx, a Symantec és nyilvánvalóan a többi antivírus-fejlesztő cég is gőzerővel vizsgálja az Alureon legújabb variánsát annak érdekében, hogy megfelelő védelmet lehessen ellene kialakítani.

A hír testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.