Według producenta zza południowej granicy, “zdecydowana większość infekcji dotykających systemy operacyjne Windows dotyczyła użytkowników systemu Windows XP. System XP jest podatny na 74% infekcji rootkit, podczas gdy Windows 7 oraz Vista ulega zaledwie 12%. Windows 7 osiągnął już teraz udział 31-procentowy, podczas gdy Windows XP jest jeszcze na 58% komputerów Windows.

Rootkity stanowią spory problem dla użytkowników ze względu na zdolność do maskowania swojej obecności, ukrywając się w koncie użytkownika, jądrze, a nawet na poziomie sprzętowym systemu operacyjnego lub komputera. Usuwanie rootkitów może być trudne – niektóre programy anty-malware wymagają skanu on-boot lub wydzielenie “recovery disc” w celu usunięcia infekcji.

Jedna trzecia użytkowników Avast wciąż używa XP Service Pack 2, dla którego wsparcie zakończyło się rok temu. Dyrektor Avast!, Ondrej Vlcek, spekuluje, że użytkownicy są niechętni do aktualizacji oprogramowania do Service Pack 3 z powodu obaw przed oznaczeniem nielegalnych kopii systemu Windows XP. Warto jednak pamiętać, że aktualizacje bezpieczeństwa nadal są dostarczane do użytkowników oznaczonych przez Windows Genuine Advantage.

Źródło: Neowin

Nowy rootkit jest rozprzestrzeniany za pomocą szkodliwej aplikacji, która instaluje na komputerach różne zagrożenia. Eksperci z Kaspersky Lab wykryli wersję tego szkodnika, który próbuje między innymi pobrać i zainstalować fałszywe oprogramowanie antywirusowe dla systemu operacyjnego Mac OS X. Wprawdzie szkodnik ten nie uruchomiłby się w środowisku Windows, ale jego obecność świadczy o tym, że cyberprzestępcy wykazują coraz większe zainteresowanie systemami innymi niż Windows i testują możliwości tworzenia zagrożeń wieloplatformowych.

Rootkity to szkodliwe programy, które zwykle mają postać sterowników i mogą ładować się w momencie startu systemu operacyjnego. Z tego powodu programy te są trudne do wykrycia przy pomocy standardowych narzędzi ochrony. Komputer użytkownika może zostać zainfekowany nowym rootkitem podczas odwiedzenia stron internetowych zawierających szkodliwe aplikacje. W celu przeprowadzenia ataków wykorzystywanych jest wiele luk w popularnym oprogramowaniu, takim jak Adobe Reader czy Java Runtime Environment. Podczas infekowania rootkit wykrywa wersję systemu operacyjnego i automatycznie instaluje swój odpowiedni wariant.

“Sterownik 64-bitowy zawiera tzw. ‘testowy podpis cyfrowy’. W przypadku uruchomienia systemu Windows Vista lub Windows 7 w trybie ‘TESTSIGNING’, aplikacje mogą aktywować sterowniki zawierające taki podpis. Jest to funkcja, którą Microsoft pozostawił dla programistów, aby mogli oni bez przeszkód testować swoje sterowniki. Niestety, dzięki niej cyberprzestępcy mogą uruchamiać własne twory bez odpowiedniego podpisu” – wyjaśnia Aleksander Gostiew, główny ekspert ds. bezpieczeństwa w Kaspersky Lab. “W wyniku tego, rootkit może uruchomić się, omijając mechanizmy ochrony wbudowane w 64-bitowe systemy Windows”.

Oba rootkity posiadają podobną funkcjonalność. Blokują próby zainstalowania lub uruchomienia przez użytkowników popularnych programów antywirusowych i skutecznie chronią same siebie poprzez przechwytywanie i monitorowanie aktywności systemu. Podczas gdy rootkit sprawia, że komputer PC jest podatny na ataki, inny szkodliwy program próbuje pobrać i uruchomić kolejne zagrożenia, łącznie ze wspomnianym wcześniej fałszywym oprogramowaniem dla systemu Mac OS X. Ten fałszywy antywirus jest wykrywany jako Hoax.OSX.Defma.f i stanowi jedno z nowych zagrożeń dla Mac OS X, który staje się coraz częstszym celem ataków cyberprzestępców.

Przykład ten pokazuje, że szkodliwe oprogramowanie staje się coraz bardziej wyrafinowane i zawiera różne komponenty, który mają do spełnienia określone funkcje. Zagrożenia te mogą atakować różne wersje systemów operacyjnych, a nawet różne platformy.

Źródło: Kaspersky Lab

Warto zaznaczyć, że szkodliwe oprogramowanie, które jako pierwsze skorzystało z tej luki, wydawało się nastawione w szczególności na systemy SCADA. Są to systemy powszechnie stosowane w zakładach komunalnych do sterowania dostawami m.in. wody i energii elektrycznej, a także w produkcji masowej.

Luka ta sprawia, że użytkownik oglądający zawartość folderu, gdzie znajduje się pewien skrót, jest narażony na infekcję, nawet jeśli nie kliknie tego skrótu dwukrotnie ani nie wyświetli kryjącego się pod nim dokumentu. Niebezpieczeństwo wynika zwłaszcza z funkcji automatycznego uruchamiania urządzeń USB, ponieważ samo włożenie dysku USB powoduje automatyczne wyświetlenie folderów i stwarza zagrożenie dla użytkownika.

Chociaż ta luka będzie najprawdopodobniej wykorzystywana głównie za pośrednictwem dysków wymiennych, to użytkownicy powinni uważać na wszystkie pliki skrótów, których autentyczności nie są pewni. Ta sama luka może być potencjalnie wykorzystana poprzez zainfekowane udziały plików lub nawet przez zwykły szkodliwy plik skompresowany, np. ZIP.

Zamiast umieszczać na dyskach stałych i wymiennych plik AUTORUN.INF i swoją kopię, wirus używany w tym ataku umieszcza na nich plik .LNK, który jest skrótem wskazującym na plik wykonywalny. Umieszczony w ten sposób plik .LNK korzysta ze wspomnianej luki, aby umieścić nową kopię wirusa (WORM_STUXNET.A) w innych systemach. Ponadto ten wirus umieszcza rootkit, który służy mu do ukrycia jego procesów. Dzięki temu pozostaje niezauważony przez użytkownika, a badaczom trudniej jest przeanalizować jego działanie.

Ponieważ wirus korzystający z tej luki w zabezpieczeniach cały czas się rozprzestrzenia, możliwe są dalsze ataki. Biuletyn Microsoft Security Advisory 2286198 zawiera instrukcje, jak dezaktywować wyświetlanie ikon skrótów oraz wyłączyć tymczasowo usługę WebClient, dopóki nie będzie dostępna poprawka.

Użytkownicy infrastruktury Trend Micro Smart Protection Network są od 15 lipca chronieni przed szkodliwym kodem użytym do tego ataku. Inni użytkownicy mogą sprawdzić, czy ich komputer nie jest zainfekowany, i usunąć infekcję, korzystając ze skanera Trend Micro HouseCall.

Winowajcą okazuje się rootkit o nazwie Alureon – poinformowano na blogu Microsoft Security Response Center (MSRC). Szkodnik odwołując się do określonych lokacji pamięci zmienia zachowanie 32-bitowych systemów Windows. Po zainstalowaniu poprawki Alureon odnosi się do określonych miejsc które nie istnieją i powoduje błąd BSOD. Wszechstronne analizy wykonane przez specjalistów Microsoftu wykazały, że usterka występuje w Windows XP.

Z wyjaśnień koncernu wynika, że aktualizacja MS10-015 była całkowicie bezpieczna dla systemów niezainfekowanych złośliwym oprogramowaniem. Microsoft zaleca przeskanowanie komputerów pod kątem obecności wirusów aktualnym oprogramowaniem antywirusowym.

Źródło: Microsoft

Co ciekawe Windows 7 posiada mechanizmy które potrafią ochronić przed Vbootkit 2.0. Mowa o modułach BitLocker Drive Encryption i Trusted Platform Module które występują w najbogatszych wersjach Windows 7 (Enterprise i Ultimate). Twórcy rootkita zaapelowali do Microsoftu aby koncern rozważył implementację modułów we wszystkich wersjach systemu w trosce o bezpieczeństwo użytkowników.

Źródło: Instalki.pl

ArcaVir zapewnia wszechstronne bezpieczeństwo komputera. Program pracuje w oparciu o nowoczesny silnik antywirusowy, który wyposażony jest w bazę danych o wszelkich wariantach szkodliwych obiektów (wirusach, koniach trojańskich, robakach internetowych, programach typu spyware, adware, riskware, obiektach typu rootkit itp.). ArcaVir posiada zaawansowane mechanizmy heurystyczne, które umożliwiają wykrywanie nowych, nieznanych jeszcze zagrożeń. Nowatorska technologia ArcaAntiStealth demaskuje programy próbujące zakamuflować się w systemie. ArcaVir chroni system uwzględniając wszystkie płaszczyzny będące potencjalnym źródłem zagrożenia, począwszy od dyskietek i płyt CD, poprzez pocztę, sieć i Internet.

ArcaVir 2009 System Protection na Windows 7

ArcaBit to kolejny producent z branży bezpieczeństwa który informuje o dostępności swoich produktów na Windows 7. Warto przypomnieć, że Kaspersky Lab przygotował specjalną kompilację pod najnowsze “okienka” natomiast Symantec informuje, że pod Windows 7 działa Norton 360 Version 3.0 Beta.

Źródło: ArcaBit