Nowe rootkity atakują system Windows
Kaspersky Lab poinformowało o wykryciu wielofunkcyjnych rootkitów stanowiących zagrożenie dla 32- i 64-bitowych systemów Windows. Główną właściwością zagrożenia w wersji 64-bitowej jest to, że wykorzystuje ono specjalny podpis cyfrowy dla twórców oprogramowania.
Nowy rootkit jest rozprzestrzeniany za pomocą szkodliwej aplikacji, która instaluje na komputerach różne zagrożenia. Eksperci z Kaspersky Lab wykryli wersję tego szkodnika, który próbuje między innymi pobrać i zainstalować fałszywe oprogramowanie antywirusowe dla systemu operacyjnego Mac OS X. Wprawdzie szkodnik ten nie uruchomiłby się w środowisku Windows, ale jego obecność świadczy o tym, że cyberprzestępcy wykazują coraz większe zainteresowanie systemami innymi niż Windows i testują możliwości tworzenia zagrożeń wieloplatformowych.
„Sterownik 64-bitowy zawiera tzw. ‘testowy podpis cyfrowy’. W przypadku uruchomienia systemu Windows Vista lub Windows 7 w trybie ‘TESTSIGNING’, aplikacje mogą aktywować sterowniki zawierające taki podpis. Jest to funkcja, którą Microsoft pozostawił dla programistów, aby mogli oni bez przeszkód testować swoje sterowniki. Niestety, dzięki niej cyberprzestępcy mogą uruchamiać własne twory bez odpowiedniego podpisu” – wyjaśnia Aleksander Gostiew, główny ekspert ds. bezpieczeństwa w Kaspersky Lab. „W wyniku tego, rootkit może uruchomić się, omijając mechanizmy ochrony wbudowane w 64-bitowe systemy Windows”.
Oba rootkity posiadają podobną funkcjonalność. Blokują próby zainstalowania lub uruchomienia przez użytkowników popularnych programów antywirusowych i skutecznie chronią same siebie poprzez przechwytywanie i monitorowanie aktywności systemu. Podczas gdy rootkit sprawia, że komputer PC jest podatny na ataki, inny szkodliwy program próbuje pobrać i uruchomić kolejne zagrożenia, łącznie ze wspomnianym wcześniej fałszywym oprogramowaniem dla systemu Mac OS X. Ten fałszywy antywirus jest wykrywany jako Hoax.OSX.Defma.f i stanowi jedno z nowych zagrożeń dla Mac OS X, który staje się coraz częstszym celem ataków cyberprzestępców.
Przykład ten pokazuje, że szkodliwe oprogramowanie staje się coraz bardziej wyrafinowane i zawiera różne komponenty, który mają do spełnienia określone funkcje. Zagrożenia te mogą atakować różne wersje systemów operacyjnych, a nawet różne platformy.
Źródło: Kaspersky Lab