Rootkity dla 32- i 64-bitowego Windows

Xien · 19-05-2011, 16:25

pecjaliści ds. bezpieczeństwa wykryli wielofunkcyjne rootkity atakujące 32- i 64-bitowe systemy Windows. Główną właściwością zagrożenia w wersji 64-bitowej jest to, że wykorzystuje ono specjalny podpis cyfrowy dla twórców oprogramowania.

Rootkity to szkodliwe programy, które zwykle mają postać sterowników i mogą ładować się w momencie startu systemu operacyjnego. Z tego powodu programy te są trudne do wykrycia przy pomocy standardowych narzędzi ochrony. Komputer użytkownika może zostać zainfekowany nowym rootkitem podczas odwiedzenia stron internetowych zawierających szkodliwe aplikacje. W celu przeprowadzenia ataków wykorzystywanych jest wiele luk w popularnym oprogramowaniu, takim jak Adobe Reader czy Java Runtime Environment. Podczas infekowania rootkit wykrywa wersję systemu operacyjnego i automatycznie instaluje swój odpowiedni wariant.

„Sterownik 64-bitowy zawiera tzw. ‘testowy podpis cyfrowy’. W przypadku uruchomienia systemu Windows Vista lub Windows 7 w trybie ‘TESTSIGNING’, aplikacje mogą aktywować sterowniki zawierające taki podpis. Jest to funkcja, którą Microsoft pozostawił dla programistów, aby mogli oni bez przeszkód testować swoje sterowniki.

Niestety, dzięki niej cyberprzestępcy mogą uruchamiać własne twory bez odpowiedniego podpisu” – wyjaśnia Aleksander Gostiew, główny ekspert ds. bezpieczeństwa w Kaspersky Lab. „W wyniku tego, rootkit może uruchomić się, omijając mechanizmy ochrony wbudowane w 64-bitowe systemy Windows”.

Oba rootkity (Trojan-Downloader.Win32.Necurs.a oraz Rootkit.Win32.Necurs.a / Rootkit.Win64.Necurs.a.) posiadają podobną funkcjonalność. Blokują próby zainstalowania lub uruchomienia przez użytkowników popularnych programów antywirusowych i skutecznie chronią same siebie poprzez przechwytywanie i monitorowanie aktywności systemu. Podczas gdy rootkit sprawia, że komputer PC jest podatny na ataki, inny szkodliwy program próbuje pobrać i uruchomić kolejne zagrożenia.

Przykład ten pokazuje, że szkodliwe oprogramowanie staje się coraz bardziej wyrafinowane i zawiera różne komponenty, który mają do spełnienia określone funkcje.

Zagrożenia te mogą atakować różne wersje systemów operacyjnych, a nawet różne platformy.

19-05-2011, 16:25	#1
Xien ♘ Dołączył/a: 24 May 2010 Miasto: Opole Wiek: 28 Postów: 8 300 Tematów: 1930 Podziękowań: 9 937 THX'ów: 18 692 Tematy Tygodnia: 0 Nominacje T.T. : 210 Imię: Patryk Wzmianek w postach: 66 Oznaczeń w tematach: 62 Plusów: 750 (+) Nagrody Użytkownika Wszystkich Nagród: 1 Wszystkich Punktów: 0	Rootkity dla 32- i 64-bitowego Windows pecjaliści ds. bezpieczeństwa wykryli wielofunkcyjne rootkity atakujące 32- i 64-bitowe systemy Windows. Główną właściwością zagrożenia w wersji 64-bitowej jest to, że wykorzystuje ono specjalny podpis cyfrowy dla twórców oprogramowania. Rootkity to szkodliwe programy, które zwykle mają postać sterowników i mogą ładować się w momencie startu systemu operacyjnego. Z tego powodu programy te są trudne do wykrycia przy pomocy standardowych narzędzi ochrony. Komputer użytkownika może zostać zainfekowany nowym rootkitem podczas odwiedzenia stron internetowych zawierających szkodliwe aplikacje. W celu przeprowadzenia ataków wykorzystywanych jest wiele luk w popularnym oprogramowaniu, takim jak Adobe Reader czy Java Runtime Environment. Podczas infekowania rootkit wykrywa wersję systemu operacyjnego i automatycznie instaluje swój odpowiedni wariant. „Sterownik 64-bitowy zawiera tzw. ‘testowy podpis cyfrowy’. W przypadku uruchomienia systemu Windows Vista lub Windows 7 w trybie ‘TESTSIGNING’, aplikacje mogą aktywować sterowniki zawierające taki podpis. Jest to funkcja, którą Microsoft pozostawił dla programistów, aby mogli oni bez przeszkód testować swoje sterowniki. Niestety, dzięki niej cyberprzestępcy mogą uruchamiać własne twory bez odpowiedniego podpisu” – wyjaśnia Aleksander Gostiew, główny ekspert ds. bezpieczeństwa w Kaspersky Lab. „W wyniku tego, rootkit może uruchomić się, omijając mechanizmy ochrony wbudowane w 64-bitowe systemy Windows”. Oba rootkity (Trojan-Downloader.Win32.Necurs.a oraz Rootkit.Win32.Necurs.a / Rootkit.Win64.Necurs.a.) posiadają podobną funkcjonalność. Blokują próby zainstalowania lub uruchomienia przez użytkowników popularnych programów antywirusowych i skutecznie chronią same siebie poprzez przechwytywanie i monitorowanie aktywności systemu. Podczas gdy rootkit sprawia, że komputer PC jest podatny na ataki, inny szkodliwy program próbuje pobrać i uruchomić kolejne zagrożenia. Przykład ten pokazuje, że szkodliwe oprogramowanie staje się coraz bardziej wyrafinowane i zawiera różne komponenty, który mają do spełnienia określone funkcje. Zagrożenia te mogą atakować różne wersje systemów operacyjnych, a nawet różne platformy.

Podobne wątki
Wątek	Autor wątku	Forum	Odpowiedzi	Ostatni Post / Autor
Przeróbka Windows XP Home do Windows XP Professional [PDF]	Ventran	Tutoriale	0	25-01-2010 18:44