Odkryto "niewykrywalnego" rootkita
Specjaliści od bezpieczeństwa komputerowego zidentyfikowali nowy rodzaj złośliwego oprogramowania, który ich zdaniem jest bardzo trudny do wykrycia przez programy antywirusowe.
reklama
Zdaniem analityków firmy Symantec kod o nazwie Backdoor.Rustock.A jest pierwszym przedstawicielem rootkitów nowej generacji. Skutecznie wykorzystuje on szereg starych i nowych metod w celu ukrycia się w zainfekowanym systemie ofiary.
Rustock wykorzystuje m.in. możliwości zapisu danych w NTFS Alternate Data Streams (ADS), co już wystarczy - zdaniem specjalistów z F-Secure (którzy oznaczyli szkodnika jako Mailbot.AZ) - do ukrycia się przed wieloma narzędziami systemowymi. Swoją niewidzialność zawdzięcza także temu, iż - jak podaje CIO - podczas działania nie widać go w systemie jako proces.
Ponadto kontroluje źródło systemu poprzez specjalne funkcje IRP i skanuje system pod kątem skanerów rootkitów, a po ich zidentyfikowaniu zmienia sposób swojego działania, by uniknąć detekcji.
Udało mu się nawet "zniknąć" w, zachwalanym przez Microsoft pod kątem bezpieczeństwa, systemie Windows Vista - informuje CIO za przedstawicielami firmy Symantec.
Po analizie kodu odkrytego szkodnika, eksperci stwierdzili, że został on stworzony przez rosyjskich programistów. Przedstawiciele firmy Symantec zidentyfikowali także już nową modyfikację rootkita - Backdoor.Rustock.B. Twiedzą oni, że z formy zapisu kodu wynika, iż wkrótce pojawi się więcej jego wersji.