Bootkit: backdoor sinowal znów w akcji
2009-06-22 13:09
Przeczytaj także: Złośliwe programy: bootkit na celowniku
Mechanizm stosowany do tworzenia nazw domen dla strony zawierającej exploity również stanowi stosunkowo nową technologię.fot. mat. prasowe
Fragment skryptu (odszyfrowany) wykorzystywanego do generowania nazwy domeny dla strony zawierającej
Technologia ta niemal całkowicie uniemożliwia wykorzystywanie klasycznych metod opartych na czarnych listach w celu zablokowania dostępu do stron zawierających exploity. Jednak analiza algorytmu wykorzystywanego do generowania nazw domen pozwala określić, które z nazw domen zostaną wykorzystane, a następnie zablokować je.
Oprócz tworzenia nazw domen poprzez wykorzystywanie aktualnej daty umieszczony w zainfekowanych stronach internetowych skrypt tworzy ciasteczka ważne przez 7 dni. Uniemożliwia to ponowne otwarcie w przeglądarce strony z pakietem narzędzi hakerskich Neosploit w przypadku wielokrotnego odwiedzenia przez użytkownika zainfekowanej strony internetowej. Skrypt szuka ciasteczek, a gdy je znajdzie i nadal będą ważne, nie stworzy nazwy domeny i użytkownik nie zostanie przekierowywany do Neosploita.
2. Technologie rootkit
fot. mat. prasowe
Przechwytywanie funkcji w celu zastąpienia MBR-a
Podczas startu zainfekowany sterownik sprawdza, czy istnieje aktywny debugger. Jeżeli tak, rootkit nie ukryje zainfekowanego MBR-a i nie ujawni jego obecności w systemie w żaden sposób.
oprac. : Regina Anam / eGospodarka.pl
Przeczytaj także
-
Backdoor atakuje serwery WWW
-
MaControl - kolejny atak na Mac OS X
-
Backdoor SabPub infekuje Mac OS X
-
Tsunami uderza w Mac OS X
-
Infekcja komputera: źródła zagrożeń 2008
-
Programy antywirusowe: coraz więcej oszustw
-
G DATA: uwaga na fałszywy antyspyware
-
Uwaga na fałszywe programy antywirusowe
-
Zagrożenia internetowe I-VI 2008