Kaspersky Lab, lider în furnizarea de soluţii pentru managementul securităţii informatice, a detectat un program periculos de tip rootkit, care ţinteşte sistemele Microsoft Windows pe 32 şi 64 de biţi.
Interesant este că acesta nu încearcă să evite detecţia PatchGuard a sistemului de protecţie kernel, ci foloseşte o semnătură digitală rezervată dezvoltatorilor de software. Rootkit-ul este distribuit printr-un troian de tip downloader, care încearcă să instaleze şi alte programe periculoase în acelaşi timp.
Rootkit-urile sunt programe periculoase care funcţionează la nivelul kernel al sistemului de operare şi se încarcă atunci când computerul porneşte. Acesta este motivul pentru care astfel de ameninţări informatice sunt dificil de identificat folosind metode standard pentru detecţie. Rootkit-ul descoperit de Kaspersky Lab se răspândeşte prin intermediul unui downloader, care foloseşte un pachet de exploit-uri numit „BlackHole Exploit Kit”. Utilizatorii se infectează în urma vizitării de pagini web care conţin downloader-ul, iar pentru infiltrarea în sistem sunt exploatate vulnerabilităţi în Java Runtime Environment şi Adobe Reader. Sunt vizate atât sistemele pe 32 de biţi, cât şi cele pe 64 de biţi.
„Driver-ul folosit de rootkit-ul pe 64 de biţi poartă o semnătură digitală numită testing digital signature”, spune Ştefan Tănase, Senior Regional Researcher Kaspersky Lab. „Dacă un computer cu sistem de operare Windows Vista sau mai nou porneşte în modul „TESTSIGNING”, orice aplicaţie poate lansa driver-e semnate cu o astfel de semnătură. Aceasta este o mică portiţă de intrare pe care Microsoft a lăsat-o deschisă pentru a permite dezvoltatorilor să testeze propriile produse software. La rândul lor, infractorii cibernetici au profitat de această „uşă secretă” pentru a executa malware fără semnătură digitală legitimă”, completează Tănase.
Ambele rootkit-uri (pe 32 şi 64 de biţi) au funcţionalităţi similare – împiedică utilizatorii să instaleze şi să ruleze soluţii de securitate legitime prin interceptarea şi monitorizarea activităţii de sistem. În timp ce rootkit-ul lasă PC-ul fără apărare împotriva atacurilor informatice, downloader-ul încearcă să descarce şi să execute alt cod malware periculos, inclusiv programe antivirus false pentru Mac OS X, în cazul în care computerul atacat este un Macintosh. Sistemele Apple Mac devin din ce în ce mai expuse la atacuri care implică programe antivirus false, un exemplu fiind Hoax.OSX.Defma.f, folosit foarte des de către infractorii cibernetici în ultima perioadă.
Rootkit-ul identificat de Kaspersky Lab reprezintă o dovadă că programele periculoase sunt din ce în ce mai sofisticate şi includ componente care servesc unor scopuri multiple. Astfel de ameninţări informatice ţintesc versiuni diferite ale sistemelor de operare sau ale platformelor software.
Produsele Kaspersky Lab detectează şi elimină cu succes Trojan-Downloader.Win32.Necurs.a, un downloader responsabil cu distribuirea rootkit-urilor Rootkit.Win32.Necurs.a/Rootkit.Win64.Necurs.a.