21.07.2006г.
Руткиты научились прятаться как следует
Новый "троянский конь" настолько хорошо прячется, что, по мнению некоторых экспертов, открывает новую главу в их войне с авторами вредоносного кода.
Вредитель, которого Symantec называет Rustock, а F-Secure — Mailbot.AZ, использует методы руткитов, чтобы избежать обнаружения средствами безопасности. "Его можно считать первым из руткитов нового поколения, — писал в блоге в конце прошлого месяца инженер по безопасности Symantec Элиа Флорио. — Rustock.A представляет собой комбинацию старых методов и новых идей, которые в сочетании рождают вредоносное ПО, достаточно скрытное, чтобы оставаться необнаруженным многими детекторами руткитов".
Руткиты считаются угрозой нового типа. Они применяются для внесения в систему изменений с целью скрыть ПО, которое может быть вредоносным. В случае Rustock, или Mailbot.AZ, технология руткита применялась для того, чтобы спрятать троянского коня, открывающего лазейку в зараженную систему, передавая ее в полное распоряжение злоумышленника.
В ходе продолжающейся гонки с производителями ПО безопасности создатели этого последнего руткита, похоже, хорошо изучили внутреннее устройство инструментов защиты, говорит Крейг Шмага, менеджер по исследованию вирусов McAfee, которая называет данный руткит PWS-JM.
"Секьюрити-фирмы стараются оставаться на шаг впереди злоумышленников, но у тех уже есть технология, которую предлагают поставщики средств защиты, — говорит он. — Они объединили разные методы, что делает эту угрозу особенно опасной. Они хорошо поработали над тем, чтобы замести следы".
Сочетание методов укрытия делает Rustock "абсолютно невидимым после установки на целевом компьютере", даже если на нем работает ранняя версия Windows Vista", пишет Флорио из Symantec. "Мы считаем это выдающимся примером сокрытия вредоносного кода".
Чтобы избежать обнаружения, Rustock не запускает системные процессы, а исполняет свой код внутри потоков драйверов и ядра. Вместо скрытых файлов он использует чередующиеся потоки данных и избегает интерфейсов прикладных программ. Современные инструменты обнаружения ищут системные процессы, скрытые файлы и цепляются за API.
Проверки на целостность некоторых структур ядра, выполняемые детекторами руткитов, и их попытки обнаружить скрытые драйверы в случае Rustock также ни к чему не приводят. Более того, драйвер SYS, который использует руткит, полиморфичен и от копии к копии изменяет свой код.
И все же вероятность быть атакованным этим руткитом и вредоносным троянским конем, который он переносит, невелика. "О нем пишут не из-за его активности, а потому, что он создает большие проблемы для существующих инструментов обнаружения руткитов", — говорит Шмага. Symantec и F-Secure также отмечают, что данная угроза не получила широкого распространения.
F-Secure обновила свой инструмент обнаружения руткитов BlackLight, который теперь позволяет обнаруживать существующие версии вредоносного кода. Symantec и McAfee еще работают над средствами обнаружения и удаления руткитов из компьютеров.
Источник: ZDNET
При перепечатке материала ссылка на innov.ru обязательна
Все новости рубрики