Slides Steaky Rootkit ainda sob o radar

milhares de sites O software malicioso é uma nova variante do Mebroot, um programa conhecido como "rootkit" pela forma furtiva como se esconde nas profundezas do mundo. Sistema operacional Windows, disse Jacques Erasmus, diretor de pesquisa da empresa de segurança Prevx.

Uma versão anterior do Mebroot, que é o nome da Symantec, apareceu pela primeira vez em dezembro de 2007 e usou uma técnica bem conhecida para ficar escondida. Ele infecta o Master Boot Record (MBR) de um computador. É o primeiro código que um computador procura ao inicializar o sistema operacional após a execução do BIOS.

[Leitura adicional: Como remover malware do seu PC com Windows]

Se o MBR estiver sob o controle de um hacker, todo o computador e qualquer dado que esteja nele ou transmitido pela Internet, disse o Erasmus.

Desde que o Mebroot apareceu, os fornecedores de segurança refinaram seu software para detectá-lo. Mas a versão mais recente usa técnicas muito mais sofisticadas para permanecer oculta, disse Erasmus.

O Mebroot insere ganchos de programa em várias funções do kernel, ou no código principal do sistema operacional. Uma vez que o Mebroot se apoderou, o malware faz parecer que o MBR não foi adulterado.

"Quando algo está tentando escanear o MBR, ele exibe um MBR de boa aparência para qualquer software de segurança", Erasmus Em seguida, cada vez que o computador é inicializado, o Mebroot é inserido em um processo do Windows na memória, como o svc.host. Como está na memória, isso significa que nada é gravado no disco rígido, outra técnica evasiva, disse Erasmus.

O Mebroot pode roubar qualquer informação que desejar e enviá-la para um servidor remoto via HTTP. Ferramentas de análise de rede, como o Wireshark, não vão notar o vazamento de dados desde que a Mebroot esconde o tráfego, disse a empresa. A empresa viu a nova variante do Mebroot depois que um dos consumidores da empresa foi infectado. Os analistas levaram alguns dias para descobrir exatamente como o Mebroot estava conseguindo se inserir no sistema operacional. "Acho que todo mundo no momento está trabalhando na modificação de seus mecanismos [antimalware] para encontrá-lo", disse Erasmus.

E essas empresas precisam agir rápido. O Erasmus disse que parece que milhares de sites foram hackeados para entregar o Mebroot a computadores vulneráveis ​​que não possuem os patches apropriados para seus navegadores da Web.

O mecanismo de infecção é conhecido como download drive-by. Ocorre quando uma pessoa visita um site legítimo que foi invadido. Uma vez no site, um iframe invisível é carregado com uma estrutura de exploração que começa a testar para ver se o navegador tem uma vulnerabilidade. Se assim for, o Mebroot é entregue, e um usuário não percebe nada.

"É muito selvagem lá fora agora", disse Erasmus. "Aonde quer que você vá, você tem a chance de ser infectado". Desconhece-se quem escreveu Mebroot, mas parece que um objetivo dos hackers é simplesmente infectar tantos computadores quanto possível, disse Erasmus.

A Prevx tem um produto de segurança especializado que funciona junto com um software antivírus para detectar explorações de navegadores, ladrões de senha, rootkits e softwares antivírus falsos.

A Prevx lançou a versão 3.0 de seu produto na quarta-feira. O software detectará infecções por malware gratuitamente, mas os usuários devem atualizar para obter a funcionalidade completa de remoção. No entanto, o Prevx 3.0 removerá alguns dos softwares maliciosos mais malignos, incluindo o Mebroot, bem como qualquer software de publicidade, conhecido como adware, gratuitamente, disse Erasmus.