Kaspersky Lab anihileaza printr-o metoda unica noua versiune a rootkit-ului Sinowal

Bucuresti, 11 mai 2009 – Expertii in securitate ai Kaspersky Lab au dezvoltat o tehnologie noua pentru detectia si eliminarea ultimei versiuni de Sinowal, un rootkit care infecteaza sectorul de boot (MBR) al unui hard disk, si ataca in special utilizatorii serviciilor bancare si de plati online. Acesta a fost detectat de catre specialistii companiei la sfarsitul lunii martie 2009.

Pe tot parcursul anului 2008, expertii Kaspersky Lab au pus la dispozitie rapoarte detaliate despre noile versiuni ale acestui rootkit: in primul raport trimestrial despre evolutia malware-ului (http://www.viruslist.com/en/analysis?pubid=204792002) si in articolul publicat pe blogul companiei: „Bootkit: provocarea anului 2008”. Cu toate acestea, noua varianta de Sinowal a fost o surpriza pentru cercetatori.

Spre deosebire de versiunile anterioare, Backdoor.Win32.Sinowal (cunoscut si ca Torpig sau Anserin) se introduce mult mai adanc in sistemul de operare pentru a evita detectia de catre produsele antivirus. Metoda de camuflare consta in interactionarea sa cu procesele sistemului de operare, la cel mai scazut nivel al acestuia, o tehnologie foarte sofisticata folosita acum pentru prima oara de catre infractorii cibernetici. Astfel, se explica incapacitatea solutiilor antivirus de a dezinfecta computerele virusate sau de a detecta rootkit-ul atunci cand a aparut. Odata ce Sinowal este activ, el incepe o procedura completa de monitorizare a activitatilor utilizatorului pentru a fura date personale sau informatiile de acces in conturi, in special date de autentificare sau de tranzactionare in sistemele de online banking si de plati online.

Conform specialistilor Kaspersky Lab, Sinowal s-a raspandit activ pe toata perioada lunii trecute prin intermediul unor site-uri infectate cu kit-ul Neosploit. De exemplu, Sinowal poate patrunde in computer printr-o vulnerabilitate a programului Adobe Acrobat Reader, care permite unui fisier PDF infectat sa fie descarcat pe calculator fara stirea utilizatorului.
Implementarea unei metode capabile atat sa detecteze, cat si sa elimine virusul, care inca se raspandeste pe Internet, este una dintre cele mai dificile sarcini pe care au avut-o expertii antivirus in ultimii ani. Kaspersky Lab este printre primele mari companii de securitate care au inclus in produsele sale detectia si eliminarea cu succes a noii versiuni de Sinowal.
Pentru a verifica prezenta rootkit-ului pe computer, utilizatorii trebuie sa isi actualizeze baza de date cu semnaturi a solutiei antivirus si sa ruleze o scanare completa a sistemului. Daca Sinowal este detectat, calculatorul va necesita un restart in timpul procesului de dezinfectare.
In acelasi timp, specialistii Kaspersky Lab recomanda utilizatorilor instalarea tuturor update-urilor de securitate pentru a inchide vulnerabilitatile din Adobe Acrobat Reader si a celor din browser-ele de Internet folosite.

Sursa: Marius Matei

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

One response to “Kaspersky Lab anihileaza printr-o metoda unica noua versiune a rootkit-ului Sinowal”

  1. Marcel

    Citesc cu mare interes articolele publicate pe acest site si il consider foarte util. Pacat ca nu prea stie lumea de existenta lui.
    Referitor la articol, am impresia ca amenintarile informatice (virusi, spyware, malware, troieni etc.) sunt facute, majoritatea, cu buna stiinta a producatorilor de solutii de securitate, dupa care, vine producatorul antivirusului X si se lauda cu cea mai descoperit si cu ce este peste concurenta. Asta e impresia mea, poate ma insel, nici nu am vrut sa atac in Kaspersky, am licenta de KIS si sunt foarte multumit, dar nu pot sa nu ma gandesc ce frumoasa era viata fara virusi 🙂

Leave a Reply