Stolly Rootkit Slides Further Under the Radar

آلاف المواقع على الويب تم تزويرها لتقديم قطعة قوية من البرامج الضارة التي قد تكون العديد من منتجات الأمان غير مهيأة للتعامل معها.

البرنامج الخبيث هو نوع جديد من برنامج Mebroot ، وهو برنامج يعرف باسم "rootkit" للطريقة التخفيية التي يخفيها عميقًا في نظام التشغيل ويندوز ، قال جاك إيراسموس ، مدير الأبحاث في شركة Security Prevx.

ظهرت نسخة سابقة من Mebroot ، وهو ما أطلق عليه Symantec ، لأول مرة في ديسمبر 2007 ، واستخدمت تقنية معروفة للبقاء مخفية. يصيب سجل التمهيد الرئيسي للكمبيوتر (MBR). إنه الرمز الأول الذي يبحث عنه الكمبيوتر عند تشغيل نظام التشغيل بعد تشغيل BIOS.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام Windows لديك]

إذا كانت MBR تحت سيطرة القراصنة ، وقال إيراسموس: "الكمبيوتر وأي بيانات موجودة عليه أو تنتقل عبر الإنترنت.

منذ ظهور Mebroot ، قام بائعو الأمن بتحسين برنامجهم لاكتشافه. لكن الإصدار الأحدث يستخدم تقنيات أكثر تعقيدًا للبقاء مخفيًا ، كما يقول إيراسموس.

يدمج برنامج إدراج برنامج Mebroot في وظائف مختلفة للنواة ، أو رمز النظام الأساسي لنظام التشغيل. بمجرد أن يمسك Mebroot ، فإن البرامج الضارة تجعله يبدو وكأنه لم يتم العبث بـ MBR.

"عندما يحاول شيء مسح MBR ، فإنه يعرض MBR جيد المظهر لأي برنامج أمان ،" Erasmus بعد ذلك ، في كل مرة يتم فيها تمهيد الكمبيوتر ، يقوم Mebroot بحقن نفسه في عملية Windows في الذاكرة ، مثل svc.host. وبما أنه في الذاكرة ، فهذا يعني أنه لا يوجد شيء مكتوب على القرص الصلب ، وهو أسلوب مراوغ آخر.

يمكن أن يسرق Mebroot أي معلومات يعجبها ويرسلها إلى خادم بعيد عبر HTTP. لن تلاحظ أدوات تحليل الشبكات مثل Wireshark أن البيانات تتسرب منذ أن يخفي Mebroot حركة المرور.

رأى سابقًا النوع الجديد من Mebroot بعد إصابة أحد العملاء الاستهلاكية للشركة. استغرق الأمر من المحللين بضعة أيام لتدوين بالضبط كيف تمكنت Mebroot من دمج نفسها في نظام التشغيل. وقال إيراسموس "أعتقد أن الجميع في الوقت الحالي يعملون على تعديل محركاتهم [المضادة للملاريا] للعثور عليها".

<> <> <> وتحتاج تلك الشركات إلى التصرف بسرعة. وقال إيراسموس إنه يبدو أن الآلاف من مواقع الويب قد تم اختراقها لتوصيل جهاز Mebroot إلى أجهزة الكمبيوتر الضعيفة التي لا تحتوي على بقع مناسبة لمتصفحات الويب الخاصة بهم.

تُعرف آلية العدوى بتنزيل برنامج التشغيل. يحدث عندما يزور شخص موقع ويب شرعي تم اختراقه. بمجرد الوصول إلى الموقع ، يتم تحميل iframe غير مرئي بإطار عمل استغلال يبدأ الاختبار لمعرفة ما إذا كان المتصفح به ثغرة أمنية. إذا كان الأمر كذلك ، يتم تسليم Mebroot ، ولا يلاحظ المستخدم أي شيء.

"إنه أمر شاذ للغاية الآن ،" قال إيراسموس. "في كل مكان تذهب إليه ، لديك فرصة للإصابة."

من غير المعروف من يكتب Mebroot ، ولكن يبدو أن أحد أهداف المتسللين هو ببساطة إصابة أكبر عدد ممكن من أجهزة الكمبيوتر ، حسبما قال إراسموس.

Prevx has منتج أمني متخصص اسمه يعمل جنباً إلى جنب مع برامج مكافحة الفيروسات للكشف عن مآثر المتصفحات التي يستخدمها السائق ، وكلمات سرقة كلمات المرور ، وبرامج rootkits ، وبرامج الحماية من الفيروسات.

أصدرت شركة Prevx الإصدار 3.0 من منتجها يوم الأربعاء. سيقوم البرنامج بالكشف عن إصابات البرمجيات الخبيثة مجانًا ، ولكن يجب على المستخدمين الترقية للحصول على وظيفة الإزالة الكاملة. ومع ذلك ، سيزيل برنامج Prevx 3.0 بعض البرامج الضارة الشريرة ، بما في ذلك برنامج Mebroot ، بالإضافة إلى أي برنامج إعلاني ، يُعرف باسم adware ، مجانًا ، كما يقول Erasmus.