Kaspersky Lab wykrywa i leczy unikatowego rootkita infekującego MBR

12 maja 2009 0 przez Grzegorz Pietrzak

Kaspersky Lab zaimplementował wykrywanie i leczenie dla nowej wersji unikatowego rootkita MBR. Nowy wariant Sinowala, szkodliwego programu, który potrafi ukryć swoją obecność poprzez infekowanie sektora MBR (Master Boot Record) na dysku twardym, został wykryty przez ekspertów firmy pod koniec marca 2009 roku. Kaspersky Lab jest jedną z pierwszych firm antywirusowych, które zaimplementowały w swoich rozwiązaniach antywirusowych dla użytkowników indywidualnych zarówno wykrywanie, jak i skuteczne leczenie dla tej nowej modyfikacji Sinowala.

W 2008 roku analitycy z firmy Kaspersky Lab podawali szczegółowe
informacje o innych wariantach tego rootkita: w raporcie na temat
ewolucji szkodliwego oprogramowania w pierwszym kwartale
(www.viruslist.pl/analysis.html?newsid=492) oraz w artykule
„Bootkit: wyzwanie 2008 roku”
(www.viruslist.pl/analysis.html?newsid=517). Jednak nowa wersja
zupełnie zaskoczyła analityków. W przeciwieństwie do wcześniejszych,
ostatnia modyfikacja, Backdoor.Win32.Sinowal, przenika znacznie głębiej
do systemu w celu uniknięcia wykrycia. Wykorzystywana przez ten wariant
metoda ukrywania się polega na przechwytywaniu obiektów na najniższym
poziomie systemu operacyjnego.

Cyberprzestępcy po raz pierwszy zastosowali tak wyrafinowane
technologie. To wyjaśnia, dlaczego żadne produkty antywirusowe nie
potrafiły wyleczyć komputerów zainfekowanych nową modyfikacją Sinowala,
ani nawet wykryć tego szkodnika, gdy pojawił się po raz pierwszy. Gdy
tylko bootkit przeniknie do systemu, ukrywa działania wykonywane przez
szkodliwą funkcję, których celem jest kradzież danych użytkownika oraz
różnych informacji dotyczących konta.

Według ekspertów z firmy Kaspersky Lab, w ostatnim miesiącu bootkit
aktywnie rozprzestrzeniał się z wielu zainfekowanych stron,
wykorzystując różne luki w zabezpieczeniach. W szczególności, bootkit
ten może przeniknąć do systemu poprzez lukę w zabezpieczeniach programu
Adobe Acrobat Reader, która pozwala na pobranie zainfekowanego pliku
PDF bez wiedzy użytkownika. Zaimplementowanie wykrywania i leczenia dla
tego bootkita, który nadal rozprzestrzenia się za pośrednictwem
Internetu, jest najtrudniejszym wyzwaniem, z jakim od wielu lat zmagają
się specjaliści ds. zwalczania wirusów.

Aby sprawdzić, czy komputer został zainfekowany bootkitem, użytkownicy
muszą uaktualnić antywirusowe bazy danych i przeprowadzić pełne
skanowanie systemu. W przypadku wykrycia bootkita, konieczne będzie
powtórne uruchomienie komputera podczas procesu leczenia. Ponadto,
specjaliści z firmy Kaspersky Lab zalecają użytkownikom zainstalowanie
wszystkich niezbędnych łat w celu usunięcia luk w zabezpieczeniach
programu Acrobat Reader oraz wszystkich wykorzystywanych przeglądarkach (www.adobe.com/support/security/bulletins/apsb09-04.html).