Kaspersky a identificat un program foarte periculos care ţintește sistemele Microsoft Windows

Kaspersky a identificat un program foarte periculos care ţintește sistemele Microsoft Windows

Kaspersky Lab, lider în furnizarea de soluţii pentru managementul securităţii informatice, a detectat un program periculos de tip rootkit, care ţintește sistemele Microsoft Windows pe 32 și 64 de biţi. Interesant este că acesta nu încearcă să evite detecţia PatchGuard a sistemului de protecţie kernel, ci folosește o semnătură digitală rezervată dezvoltatorilor de software. Rootkit-ul este distribuit printr-un troian de tip downloader, care încearcă să instaleze și alte programe periculoase în același timp. Rootkit-urile sunt programe periculoase care funcţionează la nivelul kernel al sistemului de operare și se încarcă atunci când computerul pornește. Acesta este motivul pentru care astfel de ameninţări informatice sunt dificil de identificat folosind metode standard pentru detecţie. Rootkit-ul descoperit de Kaspersky Lab se răspândește prin intermediul unui downloader, care folosește un pachet de exploit-uri numit „BlackHole Exploit Kit”. Utilizatorii se infectează în urma vizitării de pagini web care conţin downloader-ul, iar pentru infiltrarea în sistem sunt exploatate vulnerabilităţi în Java Runtime Environment și Adobe Reader. Sunt vizate atât sistemele pe 32 de biţi, cât și cele pe 64 de biţi. „Driver-ul folosit de rootkit-ul pe 64 de biţi poartă o semnătură digitală numită testing digital signature”, spune Ștefan Tănase, Senior Regional Researcher Kaspersky Lab. „Dacă un computer cu sistem de operare Windows Vista sau mai nou pornește în modul „TESTSIGNING”, orice aplicaţie poate lansa driver-e semnate cu o astfel de semnătură. Aceasta este o mică portiţă de intrare pe care Microsoft a lăsat-o deschisă pentru a permite dezvoltatorilor să testeze propriile produse software. La rândul lor, infractorii cibernetici au profitat de această „ușă secretă” pentru a executa malware fără semnătură digitală legitimă”, completează Tănase. Ambele rootkit-uri (pe 32 și 64 de biţi) au funcţionalităţi similare – împiedică utilizatorii să instaleze și să ruleze soluţii de securitate legitime prin interceptarea și monitorizarea activităţii de sistem. În timp ce rootkit-ul lasă PC-ul fără apărare împotriva atacurilor informatice, downloader-ul încearcă să descarce și să execute alt cod malware periculos, inclusiv programe antivirus false pentru Mac OS X, în cazul în care computerul atacat este un Macintosh. Sistemele Apple Mac devin din ce în ce mai expuse la atacuri care implică programe antivirus false, un exemplu fiind Hoax.OSX.Defma.f, folosit foarte des de către infractorii cibernetici în ultima perioadă. Rootkit-ul identificat de Kaspersky Lab reprezintă o dovadă că programele periculoase sunt din ce în ce mai sofisticate și includ componente care servesc unor scopuri multiple. Astfel de ameninţări informatice ţintesc versiuni diferite ale sistemelor de operare sau ale platformelor software. Produsele Kaspersky Lab detectează și elimină cu succes Trojan-Downloader.Win32.Necurs.a, un downloader responsabil cu distribuirea rootkit-urilor Rootkit.Win32.Necurs.a/Rootkit.Win64.Necurs.a.

Autor: Capital Sursa: www.capital.ro  Vineri, 20 Mai 2011