Kaspersky Lab a identificat un rootkit pe 64 de biti foarte periculos

stefan tanaseKaspersky Lab, lider in furnizarea de solutii pentru managementul securitatii informatice, a detectat un program periculos de tip rootkit, care tinteste sistemele Microsoft Windows pe 32 si 64 de biti. Interesant este ca acesta nu incearca sa evite detectia PatchGuard a sistemului de protectie kernel, ci foloseste o semnatura digitala rezervata dezvoltatorilor de software. Rootkit-ul este distribuit printr-un troian de tip downloader, care incearca sa instaleze si alte programe periculoase in acelasi timp.

Rootkit-urile sunt programe periculoase care functioneaza la nivelul kernel al sistemului de operare si se incarca atunci cand computerul porneste. Acesta este motivul pentru care astfel de amenintari informatice sunt dificil de identificat folosind metode standard pentru detectie. Rootkit-ul descoperit de Kaspersky Lab se raspandeste prin intermediul unui downloader, care foloseste un pachet de exploit-uri numit „BlackHole Exploit Kit”. Utilizatorii se infecteaza in urma vizitarii de pagini web care contin downloader-ul, iar pentru infiltrarea in sistem sunt exploatate vulnerabilitati in Java Runtime Environment si Adobe Reader. Sunt vizate atat sistemele pe 32 de biti, cat si cele pe 64 de biti.

„Driver-ul folosit de rootkit-ul pe 64 de biti poarta o semnatura digitala numita testing digital signature”, spune Ştefan Tanase, Senior Regional Researcher Kaspersky Lab. „Daca un computer cu sistem de operare Windows Vista sau mai nou porneste in modul „TESTSIGNING”, orice aplicatie poate lansa driver-e semnate cu o astfel de semnatura. Aceasta este o mica portita de intrare pe care Microsoft a lasat-o deschisa pentru a permite dezvoltatorilor sa testeze propriile produse software. La randul lor, infractorii cibernetici au profitat de aceasta „usa secreta” pentru a executa malware fara semnatura digitala legitima”, completeaza Tanase.

Ambele rootkit-uri (pe 32 si 64 de biti) au functionalitati similare – impiedica utilizatorii sa instaleze si sa ruleze solutii de securitate legitime prin interceptarea si monitorizarea activitatii de sistem. În timp ce rootkit-ul lasa PC-ul fara aparare impotriva atacurilor informatice, downloader-ul incearca sa descarce si sa execute alt cod malware periculos, inclusiv programe antivirus false pentru Mac OS X, in cazul in care computerul atacat este un Macintosh. Sistemele Apple Mac devin din ce in ce mai expuse la atacuri care implica programe antivirus false, un exemplu fiind Hoax.OSX.Defma.f, folosit foarte des de catre infractorii cibernetici in ultima perioada.

Rootkit-ul identificat de Kaspersky Lab reprezinta o dovada ca programele periculoase sunt din ce in ce mai sofisticate si includ componente care servesc unor scopuri multiple. Astfel de amenintari informatice tintesc versiuni diferite ale sistemelor de operare sau ale platformelor software.

Produsele Kaspersky Lab detecteaza si elimina cu succes Trojan-Downloader.Win32.Necurs.a, un downloader responsabil cu distribuirea rootkit-urilor Rootkit.Win32.Necurs.a/Rootkit.Win64.Necurs.a.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

One response to “Kaspersky Lab a identificat un rootkit pe 64 de biti foarte periculos”

  1. m1ke

    Inca o data Kaspersky este la inaltime!! Mult succes in lupta contra amenintarilor informatice!

Leave a Reply