Bootkit: backdoor sinowal znów w akcji

Przeczytaj także: Złośliwe programy: bootkit na celowniku

Mechanizm stosowany do tworzenia nazw domen dla strony zawierającej exploity również stanowi stosunkowo nową technologię. Gdy użytkownik odwiedzi zainfekowaną stronę internetową, na jego komputerze zacznie uruchamiać się specjalnie stworzony skrypt. Skrypt ten wykorzystuje aktualną datę na komputerze w celu wygenerowania nazwy strony, do której użytkownik zostanie przekierowany w celu pobrania stworzonego dla niej exploita.

Technologia ta niemal całkowicie uniemożliwia wykorzystywanie klasycznych metod opartych na czarnych listach w celu zablokowania dostępu do stron zawierających exploity. Jednak analiza algorytmu wykorzystywanego do generowania nazw domen pozwala określić, które z nazw domen zostaną wykorzystane, a następnie zablokować je.

Oprócz tworzenia nazw domen poprzez wykorzystywanie aktualnej daty umieszczony w zainfekowanych stronach internetowych skrypt tworzy ciasteczka ważne przez 7 dni. Uniemożliwia to ponowne otwarcie w przeglądarce strony z pakietem narzędzi hakerskich Neosploit w przypadku wielokrotnego odwiedzenia przez użytkownika zainfekowanej strony internetowej. Skrypt szuka ciasteczek, a gdy je znajdzie i nadal będą ważne, nie stworzy nazwy domeny i użytkownik nie zostanie przekierowywany do Neosploita.

2. Technologie rootkit
Autorzy artykułu zauważają, że bootkit nadal stosuje metodę polegającą na infekowaniu MBR-a w celu załadowania swojego sterownika przed uruchomieniem się systemu operacyjnego. Sterownik jest wykorzystywany do uniemożliwienia wykrywania i leczenia zainfekowanego rekordu startowego. Pierwsze wersje przechwytywały procedurę IRP Driver/ Disk; jednak ze względu na ewolucję technologii zwalczania szkodliwych programów twórcy wirusów musieli znacznie zmodyfikować tę technikę. W porównaniu z poprzednimi wariantami najnowsza wersja rootkita wykorzystuje bardziej zaawansowaną technologię w celu ukrycia swojej obecności w systemie. Żaden z innych znanych obecnie rootkitów nie wykorzystuje opisanych niżej metod.

Podczas startu zainfekowany sterownik sprawdza, czy istnieje aktywny debugger. Jeżeli tak, rootkit nie ukryje zainfekowanego MBR-a i nie ujawni jego obecności w systemie w żaden sposób.