Rootkity zaczęły wykorzystywać Master Boot Record

PandaLabs wykryło nowy sposób przeprowadzania ataków z wykorzystaniem rootkitów. Rootkity ukrywają się, zastępując główny rekord startowy (Master Boot Record - MBR), czyli pierwszy sektor dysku twardego, zmodyfikowaną wersją, która przeprowadza szkodliwe działania.

Laboratorium PandaLabs wykryło trojany, które zawierają m.in. rootkity MBRtool.A, MBRtool.B, MBRtool.C. Specjaliści podkreślają, że to rewolucja w zastosowaniu rootkitów, ponieważ wykrycie powiązanego z nimi złośliwego kodu staje się jeszcze trudniejsze lub praktycznie niemożliwe.

„Jedyną formą obrony jest wykrycie tych rootkitów, zanim zdążą zainfekować sektor MBR. Podobnych złośliwych kodów będzie w przyszłości coraz więcej i dlatego niezbędne staje się użycie technologii proaktywnych, które są w stanie wykrywać zagrożenia bez uprzedniej identyfikacji, czyli porównywania z bazą sygnatur” – twierdzi Piotr Walas, dyrektor techniczny Panda Security w Polsce.

Podstępne rootkity

Cyberprzestępcy chętnie korzystają z rootkitów, ponieważ służą one do ukrywania aktywności innych złośliwych programów, przez co ich wykrycie staje się trudniejsze. Dotychczas rootkity były instalowane w procesach systemowych, ale nowe, wykryte ostatnio przez laboratorium PandaLabs, odmiany instalowane są na tej części dysku twardego, która jest uruchamiana przed załadowaniem systemu operacyjnego.

Dotąd rootkity były więc stosowane do ukrywania rozszerzeń lub procesów, a teraz potrafią bezpośrednio oszukiwać systemy. Ich lokalizacja gwarantuje, że użytkownik komputera nie zauważy żadnych nieprawidłowości w procesach systemowych, a rootkit załadowany do pamięci będzie stale monitorował dostęp do dysku i sprawiał, że wszelkie złośliwe oprogramowanie pozostanie niewidoczne dla systemu. Jeżeli więc taki rootkit zostanie uruchomiony w systemie, wykona on kopię aktualnego MBR, modyfikując oryginał za pomocą szkodliwych instrukcji. To oznacza, że w przypadku próby uzyskania dostępu do głównego rekordu startowego, rootkit dokona przekierowania na pierwotną wersję, uniemożliwiając użytkownikom lub aplikacjom znalezienie jakichkolwiek podejrzanych elementów. Tymczasem przeprowadzone przez rootkity modyfikacje sprawią, że po włączeniu komputera uruchamiany jest zafałszowany MBR, zanim załadowany zostanie system operacyjny. Następnie rootkit uruchamia pozostałą część własnego kodu, ukrywając tym samym swoją obecność, a także wszelkie powiązane ze sobą złośliwe kody.

Jak się uchronić przed najnowszymi rootkitami?

Najnowsze zagrożenia są wprawdzie bardzo trudne do wykrycia, ale istnieją sposoby, by się przed nimi uchronić. Przede wszystkim nie należy uruchamiać żadnych plików nieznanego pochodzenia. Jeśli jednak zdarzy się, że komputer zostanie zainfekowany rootkitami nowego typu, w celu ich usunięcia należy uruchomić komputer za pomocą startowej płyty CD, aby uniknąć uruchomienia MBR. Następnie trzeba przywrócić prawidłowy MBR, korzystając z narzędzia typu fixmbr dostępnego w konsoli przywracania Windows, o ile zainstalowano ten system operacyjny.

„Rootkity mogą być groźne także dla innych platform np. Linux, ponieważ ich działanie jest niezależne od systemu operacyjnego zainstalowanego na komputerze” - dodaje Piotr Walas – „Nasze prognozy, że w 2008 roku cyberprzestępcy zainteresują się nowymi platformami zaczynają się więc już sprawdzać”.

źródło: Panda Security

zobacz również: Rootkit-ochroniarz
Rootkity w modzie
Joanna Rutkowska stworzy niewykrywalnego rootkita
Od rootkitów do bootkitów - mechanizm podpisywania kodu w Viście złamany