eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › Bootkit: backdoor sinowal znów w akcji

Bootkit: backdoor sinowal znów w akcji

2009-06-22 13:09

Bootkit: backdoor sinowal znów w akcji

Fragment skryptu (odszyfrowany) wykorzystywanego do generowania nazwy domeny dla strony zawierającej © fot. mat. prasowe

PRZEJDŹ DO GALERII ZDJĘĆ (4)

Kaspersky Lab przedstawił artykuł zatytułowany "Bootkit 2009", poświęcony nowej modyfikacji najbardziej niebezpiecznego szkodliwego programu 2008 roku - Backdoor.Win32.Sinowal. Tekst został opracowany przez Siergieja Golowanowa, starszego analityka zagrożeń z firmy Kaspersky Lab, oraz Wiaczesława Rusakowa, członka zespołu Kaspersky Lab zajmującego się analizowaniem złożonych zagrożeń.

Przeczytaj także: Złośliwe programy: bootkit na celowniku

W 2008 roku analitycy z Kaspersky Lab pisali o szkodliwym programie o nazwie Backdoor.Win32.Sinowal, który stanowił poważne zagrożenie, ponieważ stosował najbardziej zaawansowane w tym czasie technologie:
  1. Spersonalizowane infekowanie osób odwiedzających zhakowane strony internetowe poprzez wykorzystywanie wielu różnych luk w zabezpieczeniach, łącznie z lukami zero-day.
  2. Wykorzystywanie najbardziej zaawansowanych technologii rootkit oraz wirusów sektora startowego w celu infekowania MBR-a. Infekowanie sektora startowego dysków było bardzo popularne w czasie, gdy szkodliwe programy po raz pierwszy zaczęły się pojawiać; stare technologie przeżywają obecnie odrodzenie, są jednak podnoszone do nowego poziomu. Problem pogarsza fakt, że wiele z najnowszych rozwiązań antywirusowych nie potrafi skanować MBR-a, ponieważ uznano, że ten sposób infekcji nie stanowi już zagrożenia.
  3. Wykorzystywanie nieustannie migrujących serwerów C&C i serwerów infekcji (adresy IP oraz nazwy domen są ciągle modyfikowane). Zainfekowane komputery wykorzystywały wyspecjalizowane algorytmy w celu tworzenia nazw domen, aby wyszukiwać swoje centra C&C. Ta sama technologia została następnie zaimplementowana w szkodliwych programach należących do rodziny Kido (Conficker).
W ciągu roku wymienione wyżej podejścia i technologie stały się "klasyką" i obecnie są implementowane w szeregu różnych szkodliwych programach. Jednak, jak zauważają eksperci, twórcy bootkita nie spoczęli na laurach i nadal rozwijają oraz implementują te technologie w bardziej wyrafinowanej postaci. W rezultacie, bootkit stanowi najbardziej wyrafinowany współczesny szkodliwy program. Ukrywa się przed rozwiązaniami bezpieczeństwa, które w większości nie potrafią go wykrywać.

Pod koniec marca 2009 roku analitycy z firmy Kaspersky Lab odkryli, że w Internecie rozprzestrzeniała się nowa modyfikacja bootkita. W artykule tym przeanalizowano jego sposób działania i rozprzestrzeniania się.

Obecna sytuacja

Artykuł zawiera najistotniejsze zmiany w bootkicie, które zostały opisane poniżej:

1. Rozprzestrzenianie

Obecnie bootkit rozprzestrzenia się za pośrednictwem zhakowanych stron internetowych, zasobów pornograficznych oraz stron z pirackim oprogramowaniem. Prawie wszystkie serwery biorące udział w procesie infekcji posiadają wyraźny rosyjski ślad: stanowią część tak zwanych programów partnerskich, w których właściciele stron internetowych współpracują z autorami szkodliwych programów. Takie "programy partnerskie" są niezwykle popularne w rosyjskich i ukraińskich światkach cyberprzestępczych.

 

1 2 ... 4

następna

Przeczytaj także

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: