Rootkity zastępujące MBR dysku
2008-01-18 01:12
Laboratorium PandaLabs wykryło nowy sposób przeprowadzania ataków z wykorzystaniem rootkitów. Rootkity ukrywają się, zastępując główny rekord startowy (master boot record - MBR), czyli pierwszy sektor dysku twardego, zmodyfikowaną wersją, która przeprowadza szkodliwe działania.
Przeczytaj także: Jak wirusy ukrywają się przed antywirusem?
Laboratorium PandaLabs, specjalizujące się w wykrywaniu i analizie złośliwego oprogramowania, wykryło trojany, które zawierają m.in. rootkity MBRtool.A, MBRtool.B, MBRtool.C. Rootkity te zostały zaprojektowane w taki sposób, aby zastępowały główny rekord startowy (master boot record - MBR), czyli pierwszy sektor dysku twardego, własną, zmodyfikowaną wersją.Specjaliści z PandaLabs podkreślają, że to rewolucja w zastosowaniu rootkitów, ponieważ wykrycie powiązanego z nimi złośliwego kodu staje się jeszcze trudniejsze lub praktycznie niemożliwe. „Jedyną formą obrony jest wykrycie tych rootkitów, zanim zdążą zainfekować sektor MBR. Podobnych złośliwych kodów będzie w przyszłości coraz więcej i dlatego niezbędne staje się użycie technologii proaktywnych, które są w stanie wykrywać zagrożenia bez uprzedniej identyfikacji, czyli porównywania z bazą sygnatur” – twierdzi Piotr Walas, dyrektor techniczny Panda Security w Polsce.
Podstępne rootkity
Cyberprzestępcy chętnie korzystają z rootkitów, ponieważ służą one do ukrywania aktywności innych złośliwych programów, przez co ich wykrycie staje się trudniejsze. Dotychczas rootkity były instalowane w procesach systemowych, ale nowe, wykryte ostatnio przez laboratorium PandaLabs, odmiany instalowane są na tej części dysku twardego, która jest uruchamiana przed załadowaniem systemu operacyjnego.
Dotąd rootkity były więc stosowane do ukrywania rozszerzeń lub procesów, a teraz potrafią bezpośrednio oszukiwać systemy. Ich lokalizacja gwarantuje, że użytkownik komputera nie zauważy żadnych nieprawidłowości w procesach systemowych, a rootkit załadowany do pamięci będzie stale monitorował dostęp do dysku i sprawiał, że wszelkie złośliwe oprogramowanie pozostanie niewidoczne dla systemu.
Jeżeli więc taki rootkit zostanie uruchomiony w systemie, wykona on kopię aktualnego MBR, modyfikując oryginał za pomocą szkodliwych instrukcji. To oznacza, że w przypadku próby uzyskania dostępu do głównego rekordu startowego, rootkit dokona przekierowania na pierwotną wersję, uniemożliwiając użytkownikom lub aplikacjom znalezienie jakichkolwiek podejrzanych elementów. Tymczasem przeprowadzone przez rootkity modyfikacje sprawią, że po włączeniu komputera uruchamiany jest zafałszowany MBR, zanim załadowany zostanie system operacyjny. Następnie rootkit uruchamia pozostałą część własnego kodu, ukrywając tym samym swoją obecność, a także wszelkie powiązane ze sobą złośliwe kody.
Jak się uchronić przed najnowszymi rootkitami?
Zdaniem ekspertów najnowsze zagrożenia są wprawdzie bardzo trudne do wykrycia, ale istnieją sposoby, by się przed nimi uchronić. Przede wszystkim nie należy uruchamiać żadnych plików nieznanego pochodzenia. Jeśli jednak zdarzy się, że komputer zostanie zainfekowany rootkitami nowego typu, w celu ich usunięcia należy uruchomić komputer za pomocą startowej płyty CD, aby uniknąć uruchomienia MBR. Następnie trzeba przywrócić prawidłowy MBR, korzystając z narzędzia typu fixmbr dostępnego w konsoli przywracania Windows, o ile zainstalowano ten system operacyjny. „Rootkity mogą być groźne także dla innych platform np. Linux, ponieważ ich działanie jest niezależne od systemu operacyjnego zainstalowanego na komputerze” - dodaje Piotr Walas z Panda Security.
Przeczytaj także:
Rootkit Rustock.C: rozwiązanie zagadki
oprac. : Regina Anam / eGospodarka.pl