Kaspersky Lab ostrzega przed niebezpiecznym szkodliwym programem dla Windowsa
Kaspersky Lab informuje o wykryciu wielofunkcyjnych rootkitów stanowiących zagrożenie dla 32- i 64-bitowych systemów Windows. Główną właściwością zagrożenia w wersji 64-bitowej jest to, że wykorzystuje ono specjalny podpis cyfrowy dla twórców oprogramowania
Rootkity to szkodliwe programy, które zwykle mają postać sterowników i mogą ładować się w momencie startu systemu operacyjnego. Z tego powodu programy te są trudne do wykrycia przy pomocy standardowych narzędzi ochrony. Komputer użytkownika może zostać zainfekowany nowym rootkitem podczas odwiedzenia stron internetowych zawierających szkodliwe aplikacje. W celu przeprowadzenia ataków wykorzystywanych jest wiele luk w popularnym oprogramowaniu, takim jak Adobe Reader czy Java Runtime Environment. Podczas infekowania rootkit wykrywa wersję systemu operacyjnego i automatycznie instaluje swój odpowiedni wariant.
„Sterownik 64-bitowy zawiera tzw. ‘testowy podpis cyfrowy’. W przypadku uruchomienia systemu Windows Vista lub Windows 7 w trybie ‘TESTSIGNING’, aplikacje mogą aktywować sterowniki zawierające taki podpis. Jest to funkcja, którą Microsoft pozostawił dla programistów, aby mogli oni bez przeszkód testować swoje sterowniki. Niestety, dzięki niej cyberprzestępcy mogą uruchamiać własne twory bez odpowiedniego podpisu” – wyjaśnia Aleksander Gostiew, główny ekspert ds. bezpieczeństwa w Kaspersky Lab. „W wyniku tego, rootkit może uruchomić się, omijając mechanizmy ochrony wbudowane w 64-bitowe systemy Windows”.
Oba rootkity posiadają podobną funkcjonalność. Blokują próby zainstalowania lub uruchomienia przez użytkowników popularnych programów antywirusowych i skutecznie chronią same siebie poprzez przechwytywanie i monitorowanie aktywności systemu. Podczas gdy rootkit sprawia, że komputer PC jest podatny na ataki, inny szkodliwy program próbuje pobrać i uruchomić kolejne zagrożenia, łącznie ze wspomnianym wcześniej fałszywym oprogramowaniem dla systemu Mac OS X. Ten fałszywy antywirus jest wykrywany jako Hoax.OSX.Defma.f i stanowi jedno z nowych zagrożeń dla Mac OS X, który staje się coraz częstszym celem ataków cyberprzestępców.
Przykład ten pokazuje, że szkodliwe oprogramowanie staje się coraz bardziej wyrafinowane i zawiera różne komponenty, który mają do spełnienia określone funkcje. Zagrożenia te mogą atakować różne wersje systemów operacyjnych, a nawet różne platformy.
Produkty firmy Kaspersky Lab potrafią skutecznie wykrywać i eliminować omawiane szkodliwe programy. Są one wykrywane jako Trojan-Downloader.Win32.Necurs.a oraz Rootkit.Win32.Necurs.a / Rootkit.Win64.Necurs.a.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.