Bootkit: backdoor sinowal znów w akcji

Przeczytaj także: Złośliwe programy: bootkit na celowniku

W 2008 roku analitycy z Kaspersky Lab pisali o szkodliwym programie o nazwie Backdoor.Win32.Sinowal, który stanowił poważne zagrożenie, ponieważ stosował najbardziej zaawansowane w tym czasie technologie:

1. Spersonalizowane infekowanie osób odwiedzających zhakowane strony internetowe poprzez wykorzystywanie wielu różnych luk w zabezpieczeniach, łącznie z lukami zero-day.
2. Wykorzystywanie najbardziej zaawansowanych technologii rootkit oraz wirusów sektora startowego w celu infekowania MBR-a. Infekowanie sektora startowego dysków było bardzo popularne w czasie, gdy szkodliwe programy po raz pierwszy zaczęły się pojawiać; stare technologie przeżywają obecnie odrodzenie, są jednak podnoszone do nowego poziomu. Problem pogarsza fakt, że wiele z najnowszych rozwiązań antywirusowych nie potrafi skanować MBR-a, ponieważ uznano, że ten sposób infekcji nie stanowi już zagrożenia.
3. Wykorzystywanie nieustannie migrujących serwerów C&C i serwerów infekcji (adresy IP oraz nazwy domen są ciągle modyfikowane). Zainfekowane komputery wykorzystywały wyspecjalizowane algorytmy w celu tworzenia nazw domen, aby wyszukiwać swoje centra C&C. Ta sama technologia została następnie zaimplementowana w szkodliwych programach należących do rodziny Kido (Conficker).

W ciągu roku wymienione wyżej podejścia i technologie stały się "klasyką" i obecnie są implementowane w szeregu różnych szkodliwych programach. Jednak, jak zauważają eksperci, twórcy bootkita nie spoczęli na laurach i nadal rozwijają oraz implementują te technologie w bardziej wyrafinowanej postaci. W rezultacie, bootkit stanowi najbardziej wyrafinowany współczesny szkodliwy program. Ukrywa się przed rozwiązaniami bezpieczeństwa, które w większości nie potrafią go wykrywać.

Pod koniec marca 2009 roku analitycy z firmy Kaspersky Lab odkryli, że w Internecie rozprzestrzeniała się nowa modyfikacja bootkita. W artykule tym przeanalizowano jego sposób działania i rozprzestrzeniania się.

Obecna sytuacja

Artykuł zawiera najistotniejsze zmiany w bootkicie, które zostały opisane poniżej:

1. Rozprzestrzenianie

Obecnie bootkit rozprzestrzenia się za pośrednictwem zhakowanych stron internetowych, zasobów pornograficznych oraz stron z pirackim oprogramowaniem. Prawie wszystkie serwery biorące udział w procesie infekcji posiadają wyraźny rosyjski ślad: stanowią część tak zwanych programów partnerskich, w których właściciele stron internetowych współpracują z autorami szkodliwych programów. Takie "programy partnerskie" są niezwykle popularne w rosyjskich i ukraińskich światkach cyberprzestępczych.