Stealthy Rootkit Slides Vidare Under Radaren

Tusentals webbplatser har är riggerad för att leverera en kraftfull bit av skadlig programvara som många säkerhetsprodukter kan vara oförberedda att hantera.

Den skadliga programvaran är en ny variant av Mebroot, ett program som kallas rootkit för den smygiga sätten som den döljer djupt i Windows operativsystem, säger Jacques Erasmus, forskningschef för säkerhetsbolaget Prevx.

En tidigare version av Mebroot, som Symantec heter det, uppträdde först december 2007 och använde en välkänd teknik för att vara dold. Det infekterar datorns Master Boot Record (MBR). Det är den första koden som en dator letar efter när du startar operativsystemet efter att BIOS körs.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Om MBR är under hackerstyrning så är det hela dator och alla data som finns på den eller överförs via Internet, sa Erasmus.

Sedan Mebroot uppträdde har säkerhetsleverantörerna förfinat sin programvara för att upptäcka det. Men den senaste versionen använder mycket mer sofistikerade tekniker för att vara dold, sa Erasmus.

Mebroot sätter in programhakar i olika funktioner i kärnan, eller operativsystemets kärnkod. När Mebroot har tagit tag i, visar skadlig programmen att det inte verkar som om MBR inte har manipulerats.

"När något försöker skanna MBR, visar det en perfekt snygg MBR till vilken säkerhetsprogramvara som helst," Erasmus sa.

Därefter injiceras Mebroot själv i en Windows-process i minnet, till exempel svc.host, varje gång datorn startas. Eftersom det är i minnet betyder det att ingenting är skrivet på hårddisken, en annan evasiv teknik, säger Erasmus.

Mebroot kan sedan stjäla all information som den gillar och skicka den till en fjärrserver via HTTP. Nätverksanalysverktyg som Wireshark kommer inte att märka att data läcker ut eftersom Mebroot döljer trafiken, sa Erasmus.

Prevx såg den nya varianten av Mebroot efter att ett av företagets konsumentkunder blev infekterade. Det tog analytiker några dagar att nagla ner exakt hur Mebroot lyckades integrera sig i operativsystemet. "Jag tror att alla just nu arbetar med att modifiera sina motorer för att hitta den," sa Erasmus.

Och dessa företag måste agera snabbt. Erasmus sa att det verkar som om tusentals webbplatser har hackats för att leverera Mebroot till sårbara datorer som inte har korrekta korrigeringsfiler för sina webbläsare.

Infektionsmekanismen är känd som en körningshämtning. Det uppstår när en person besöker en legitim webbplats som har hackats. En gång på webbplatsen är en osynlig iframe laddad med en exploaterande ram som börjar testa för att se om webbläsaren har en sårbarhet. Om så är fallet, levereras Mebroot, och en användare meddelar ingenting.

"Det är ganska vild ute nu," sa Erasmus. "Överallt går du, du har en chans att bli smittad."

Det är okänt som skrev Mebroot, men det verkar som att ett av de hackare som syftar till att helt enkelt infektera så många datorer som möjligt, säger Erasmus.

Prevx har en egen namngiven specialiserad säkerhetsprodukt som fungerar tillsammans med antivirusprogramvara för att upptäcka drivrutinsöversättningar, lösenordsstödare, rootkits och rogue antivirusprogram.

Prevx släppte 3.0-versionen av produkten på onsdag. Programvaran kommer att upptäcka malwareinfektioner gratis, men användarna måste uppgradera för att få fullständig borttagningsfunktionalitet. Men Prevx 3.0 kommer att ta bort några av de mer ondskadliga skadliga programmen, inklusive Mebroot, liksom alla reklamprogram, som kallas adware gratis, sade Erasmus.