Specjaliści od bezpieczeństwa informują o wykryciu wielofunkcyjnych rootkitów stanowiących zagrożenie dla 32- i 64-bitowych systemów Windows. Główną właściwością zagrożenia w wersji 64-bitowej jest to, że wykorzystuje ono specjalny podpis cyfrowy dla twórców oprogramowania.
Nowy rootkit jest rozprzestrzeniany za pomocą szkodliwej aplikacji, która instaluje na komputerach różne zagrożenia. Eksperci z Kaspersky Lab wykryli wersję tego szkodnika, który próbuje między innymi pobrać i zainstalować fałszywe oprogramowanie antywirusowe dla systemu operacyjnego Mac OS X. Wprawdzie szkodnik ten nie uruchomiłby się w środowisku Windows, ale jego obecność świadczy o tym, że cyberprzestępcy wykazują coraz większe zainteresowanie systemami innymi niż Windows i testują możliwości tworzenia zagrożeń wieloplatformowych.
Rootkity to szkodliwe programy, które zwykle mają postać sterowników i mogą ładować się w momencie startu systemu operacyjnego. Z tego powodu programy te są trudne do wykrycia przy pomocy standardowych narzędzi ochrony. Komputer użytkownika może zostać zainfekowany nowym rootkitem podczas odwiedzenia stron internetowych zawierających szkodliwe aplikacje. W celu przeprowadzenia ataków wykorzystywanych jest wiele luk w popularnym oprogramowaniu, takim jak Adobe Reader czy Java Runtime Environment. Podczas infekowania rootkit wykrywa wersję systemu operacyjnego i automatycznie instaluje swój odpowiedni wariant.
“Sterownik 64-bitowy zawiera tzw. ‘testowy podpis cyfrowy’. W przypadku uruchomienia systemu Windows Vista lub Windows 7 w trybie ‘TESTSIGNING’, aplikacje mogą aktywować sterowniki zawierające taki podpis. Jest to funkcja, którą Microsoft pozostawił dla programistów, aby mogli oni bez przeszkód testować swoje sterowniki. Niestety, dzięki niej cyberprzestępcy mogą uruchamiać własne twory bez odpowiedniego podpisu” – wyjaśnia Aleksander Gostiew, główny ekspert ds. bezpieczeństwa w Kaspersky Lab. “W wyniku tego, rootkit może uruchomić się, omijając mechanizmy ochrony wbudowane w 64-bitowe systemy Windows”.
Oba rootkity posiadają podobną funkcjonalność. Blokują próby zainstalowania lub uruchomienia przez użytkowników popularnych programów antywirusowych i skutecznie chronią same siebie poprzez przechwytywanie i monitorowanie aktywności systemu. Podczas gdy rootkit sprawia, że komputer PC jest podatny na ataki, inny szkodliwy program próbuje pobrać i uruchomić kolejne zagrożenia, łącznie ze wspomnianym wcześniej fałszywym oprogramowaniem dla systemu Mac OS X. Ten fałszywy antywirus jest wykrywany jako Hoax.OSX.Defma.f i stanowi jedno z nowych zagrożeń dla Mac OS X, który staje się coraz częstszym celem ataków cyberprzestępców.
Przykład ten pokazuje, że szkodliwe oprogramowanie staje się coraz bardziej wyrafinowane i zawiera różne komponenty, który mają do spełnienia określone funkcje. Zagrożenia te mogą atakować różne wersje systemów operacyjnych, a nawet różne platformy.
Źródło: Kaspersky Lab