Nowy, sprytniejszy rootkit

Odkryto nowy typ rootkita, który może spowodować, że znalezienie i usunięcie szkodliwego kodu może być wyjątkowo trudne. Rustock.A, znany też jako Mailbot.AZ wykorzystuje zaawansowane techniki, które pozwalają mu uniknąć wykrycia przez większość skanerów. "To pierwszy z nowej generacji rootkitów" – uważa jeden ze specjalistów.

Szkodliwe oprogramowanie używa znanych technik i zupełnie nowych rozwiązań, co pozwala mu pozostać "kompletnie niewidocznym po zainstalowaniu". Rootkit potrafi skutecznie ukryć się także w wersji beta systemu Windows Vista. Wszystko wskazuje na to, że powstał on w Rosji, a znalezione w nim fragmenty kodu sugerują, że wkrótce pojawi się jego kolejna wersja.

O wysokim stopniu zaawansowania nowego rootkita świadczyć ma fakt, że używa on alternatywnych strumieni danych (ADS) systemu plików NTFS. "Zapisanie danych w ADS wystarcza zwykle do ukrycia wielu narzędzi. W tym jednak wypadku do ich ukrycia dodatkowo wykorzystywany jest rootkit. Tak więc ukrywa on coś, co już i tak nie jest widoczne. Wiele systemów zabezpieczających będzie miało z tym poważne problemy" – twierdzą eksperci. Innymi czynnikami, które mogą pomóc Rustockowi w ukryciu się jest fakt, że nie uruchamia on własnego procesu, a uruchamia się w sterownikach i wątkach jądra, kontroluje jądro za pomocą specjalnej funkcji IRP. Ponadto usuwa swoje wpisy z jądra, a wykorzystywany przez niego sterownik SYS zmienia kod przy każdym zarażeniu. Rustock potrafi również sprawdzić, czy na komputerze jest zainstalowany skaner antyrootkitowy i zmienia swoje zachowanie tak, by uniknąć wykrycia.

ArcaBit

Realizacja: SIPLEX Studio