Rootkit z webu sa inštaluje do MBR

DSL.sk, 11.1.2008

Viacero webových stránok v súčasnosti obsahuje škodlivý kód, ktorý infikuje počítače s neaktualizovaným operačným systémom Windows a inštaluje na ne trojan spolu s rootkitom inštalovaným do Master Boot Record (MBR), prvého sektora pevného disku.

Účelom inštalácie do MBR, kód v ktorom sa vykoná vôbec ako prvý na PC po BIOS-e a inicializácii firmvéru jednotlivých komponentov a rozširujúcich kariet, je dokonalé maskovanie behu rootkitu a trojana pred OS a jeho aplikáciami vrátane antivírusových.

Detailnú analýzu trojana a rootkitu priniesol GMER.

Rootkit po spustení v MBR obsadí niektoré volania BIOS-u, za behu patchuje jadro Windows a dohrá svoj vlastný driver. Následne maskuje svoju prítomnosť na PC, keďže k tomu používa zmeny vo Windows a nielen presmerovanie volaní BIOS-u, je teoreticky detekovateľný.

GMER uvádza aj spôsob, ako je možné rootkit detekovať porovnaním maskovanej podoby MBR a prečítaním skutočnej podoby MBR použitím originálnych nezmenených volaní prístupu k disku.

Infikovanie MBR je pritom vo všetkých súčasných verziách Windows vrátane Windows Vista jednoduchšie ako infikovanie jadra alebo niektorých systémových súborov, keď Windows dovoľujú zmeniť MBR aj užívateľským aplikáciám.

Podľa dostupných informácií zatiaľ boli infikované len tisícky maximálne niekoľko desaťtisícov PC od objavenia sa rootkitu v druhej polovici decembra. Rootkit preniká do PC pri prehliadaní webu zneužitím chýb vo XML CoreServices, knižniciach VML, MDAC a JVM ByteVerify opravených väčšinou v roku 2006.


Najnovšie články:



Diskusia:

Ivan1 Od: Ivan1 | Pridané: 11.1.2008 9:59 Odstrániť ho možno jednoducho spustením Recovery Console a príkazom: FIXMBR Nejako mi ale chýba info o škodivých účinkoch tohoto rootkitu. Odpovedať Známka: 3.3 Hodnotiť:

DSL.sk Od: DSL.sk | Pridané: 11.1.2008 10:07 Najskôr sa musí detekovať, aby mohol byť odstránený. Pred každým bootom obnovovať MBR z bezpečného read-only média sa asi prakticky nedá, navyše MBR môže byť len jednoduchšia cesta napríklad k infikovaniu jadra 64-bit Visty. Úlohou rootkitu je najmä skryť seba a pribalený škodlivý kód, distribuovaný môže byť s čímkoľvek, ide najmä o techniku infiltrovania PC. Odpovedať Známka: 7.1 Hodnotiť:

Kazekage Od: Kazekage | Pridané: 11.1.2008 10:07 sakra predbehli ste ma Odpovedať Hodnotiť:

Uhlik Od: Uhlik | Pridané: 11.1.2008 12:05 64 bitovu verziu Windows Vista nie je mozne tymto sposobom infikovat, pretoze pozmeneny kod by nepresiel kontrolou konzistencie ... Odpovedať Známka: -0.8 Hodnotiť:

Kazekage Od: Kazekage | Pridané: 11.1.2008 10:07 Obidvom predo mnou http://en.wikipedia.org/wiki/Rootkit kebyste vedeli co je ootkit nepytali by ste sa take otazky typu skodlivost a tak http://en.wikipedia.org/wiki/Rootkit najprv precitaj a potom sa pytaj Odpovedať Hodnotiť:

kanpo Od: kanpo | Pridané: 11.1.2008 22:14 skoda ze to nevies ani ty. povedz nam to vlastnymi slovami, a nie davaj trapne linky Odpovedať Známka: 6.7 Hodnotiť:

Mac Od: Mac | Pridané: 11.1.2008 18:48 Najlepsie je pouzivat Apple Odpovedať Známka: -8.9 Hodnotiť:

duro Od: duro | Pridané: 11.1.2008 23:28 a operu Odpovedať Známka: 7.1 Hodnotiť:

Trax Od: Trax | Pridané: 11.1.2008 10:03 Viac info by nezaskodilo o tom ako postihuje beh systemu atd.. Odpovedať Hodnotiť:

satan Od: satan | Pridané: 11.1.2008 10:08 pekne a inak som prvy Odpovedať Známka: -7.5 Hodnotiť:

zemetras Od: zemetras | Pridané: 11.1.2008 12:38 skoro =) Odpovedať Hodnotiť:

:o) Od: :o) | Pridané: 11.1.2008 10:12 Nic sa nikomu nestane, ak bude surfovat cez OPERU Odpovedať Známka: -4.4 Hodnotiť:

OPERA Od: OPERA | Pridané: 13.1.2008 10:03 U nas v mestecku operu nemame len kino ... to nepomoze ? Odpovedať Známka: 2.5 Hodnotiť:

thriler Od: thriler | Pridané: 11.1.2008 10:18 Taka mala otazocka, je to MBR infikovatelne aj ked je na nom GRUB? A este nechapem preco nie je detekovatelny antivirusovym systemom. Ved v clanku piste: "Windows dovoľujú zmeniť MBR aj užívateľským aplikáciám" Co znamena, ze aj antivirus ma pristup do MBR, a predpokladam, ze ked ma povoleny zapis tak ma povolene aj jeho citanie, tak preco jednoducho v nom nedetekuje zmenu? Ja viem, ze momentalne taky antivirus nie je napisany, ale bolo by mozne taky program napisat? Resp. Da sa nejako obmedzit zapis do MBR z windowsu? To by bolo asi najjednoduchsie riesenie. Odpovedať Hodnotiť:

DSL.sk Od: DSL.sk | Pridané: 11.1.2008 10:28 Pretože rootkit odchytáva príslušné volania a podstrčí pri čítaní MBR verziu, ktorá by tam mala byť. Tento to ale nerobí dosť dôsledne a práve takto podobne, ako sa inak píše aj v článku, je ho možné detekovať. Odpovedať Hodnotiť:

klm Od: klm | Pridané: 11.1.2008 11:22 Zapis do MBR sa da zakazat aj v BIOS-e, co by ziadnej aplikacii (okrem tych co su zamerane na zmenu struktury disku a vacsinou sa hodia iba pred instalaciou OS) nemalo vadit... Tipoval by som ze teoreticky sa da infikovat aj MBR, v ktorom je GRUB, takze BIOS je asi najistejsia volba. Odpovedať Hodnotiť:

Uhlik Od: Uhlik | Pridané: 12.1.2008 16:24 BIOS sa nepouziva od momentu, ked sa inicializuje NT kernel, takze tato volba nema prakticky ziaden ucinok ... ne zmenu MBR su potrebne prava administratora, preto tento virus moze MBR infikovat len na zastaralych operacnych systemoch alebo len po interakcii uzivatela ... infikovanie MBR taktiez vyzaduje patchovanie kazdej verzie a platformy zvlast, pricom vylucuje napadnutie systemu s kontrolou konzistencie systemovych suborov, takze napadnutie aktualnej verzie Windows Vista je myslim absolutne vylucene ... problem sa pravdepodobne tyka len niektorych verzii XP a 9x ... za najistejsiu volbu teda povazujem pouzivanie Windows Vista x64 ... Odpovedať Známka: -7.5 Hodnotiť:

klm Od: klm | Pridané: 14.1.2008 10:59 Je pravda, ze BIOS ochrany MBR mozu byt rozne, ale existuju aj implementacie, ktore si napr. do CMOS ulozia kopiu MBR a pri boot-e porovnavaju tuto kopiu s aktualnym MBR, takze clovek sa aspon dozvie, ze je nieco zmenene a ma moznost to vratit naspat este pred startom OS. Ale ani to nie je 100% zaruka bezpecnosti, samozrejme. Vyrobcovia pevnych diskov by sa mohli zamysliet a vymysliet nejaky hardverovy prepinac na zmenu urcitej casti disku (napr. po instalacii, aktualizacii OS) na read-only. Ti co robia aktualizacie kazdy den by si sice na svoje neprisli a malo by to aj vela inych hacikov, ale na druhej strane by to mozno prinutilo mikrosrot a dalsich zufalcov po x-ty krat prehodnotit architekturu ich OS dat jej nadych bezpecnosti, ktoremu by aj niekto rozumne uvazujuci mohol uverit. Odpovedať Známka: -6.7 Hodnotiť:

klm Od: klm | Pridané: 14.1.2008 10:59 Pamatam si z VS, mali sme na C: nainstalovany tusim Win95 a cely disk C: bol read-only vdaka programceku, ktory sa nainstaloval do MBR a na zaciatok aktivnej particie. 95-ky s tym sice mali problemy, ze sem tam vyskakovali okienka s chybovymi hlaskami \"cannot write.. atd.\", bolo to cele na rit nakonfigurovane a pomale, ale myslienka to podla mna nebola zla. Chyba bola len v tom, ze po boot-e z diskety sa dal ten sikovny programcek precitat a potom uz nebol problem napisat iny programcek, ktory ho kompletne odstranil z disku. :)) Odpovedať Známka: 8.9 Hodnotiť:

diamant Od: diamant | Pridané: 16.1.2008 0:42 A čo tak používať LINUX namiesto Vista? Odpovedať Hodnotiť:

thriler Od: thriler | Pridané: 11.1.2008 10:23 Inak zacal som sa venovat vesteniu nazov dalsieho clanku bude.... MHMMHHMMMMM pockajte MHMMHSMMHMM "Cell procesor v TV a v notebooku" Odpovedať Hodnotiť:

Kazekage Od: Kazekage | Pridané: 11.1.2008 10:58 Lol, mal si pravdu. Dobre. Prezrad svoj trik? Nasiel si odkial prepisuju clanky? :D Odpovedať Hodnotiť:

thriler Od: thriler | Pridané: 11.1.2008 11:18 To som sice nenasiel, ale nazov dalsieho clanku je uz zvycajne ulozeny v databaze pod cislom posledneho clanku +1. :D Odpovedať Hodnotiť:

dokonca Od: dokonca | Pridané: 11.1.2008 11:56 obcas aj +2 Odpovedať Známka: -8.9 Hodnotiť:

:o) Od: :o) | Pridané: 11.1.2008 14:49 Ked surfujes cez OPERU, tak vidis uz aj clanky co budu zajtra Odpovedať Známka: -6.7 Hodnotiť:

ggg Od: ggg | Pridané: 11.1.2008 15:00 Vo Firefoxe 3.5 vidim aj clanky na pozajtra :P Odpovedať Známka: -7.5 Hodnotiť:

:o) Od: :o) | Pridané: 11.1.2008 15:01 Tam mozes videt tak bacov kokot. Tam je problem pozriet si aj vcerajsie clanky. Odpovedať Známka: -8.9 Hodnotiť:

pfa Od: pfa | Pridané: 11.1.2008 15:19 Pravdu mas, firefox=najhorsi prehliadac na svete, ani len mp3-ky nevie prehravat. Oh a este nieco... OPERA RULEZZ!!! Odpovedať Hodnotiť:

wirgonc Od: wirgonc | Pridané: 11.1.2008 21:45 IE rulezz... mozem s nim pohodlne prezerat pornostranky Odpovedať Známka: 5.0 Hodnotiť:

FMG.sk Od: FMG.sk | Pridané: 13.1.2008 15:48 Presne tak Vista x64 + 5 antivirakov doporucujem a FF, opera je na bacov cocot :D Odpovedať Známka: -6.7 Hodnotiť:

WURMi Od: WURMi | Pridané: 11.1.2008 11:30 Urcite nie som zastancom ziadneho Malware. Ale konecne niekoho napadlo infikovat MBR (prip. Partition Table) ako to bolo za cias DOSu ;)) Ved uz bolo trapne, ze vacsina Malware sa aktivolala pri bootovani windowsu z 'Run' v Registry tak, ze sa tam pridal nejaky nenapadny nazov ako napr. 'windows.exe' :)))) Odpovedať Známka: 7.1 Hodnotiť:

claudius Od: claudius | Pridané: 12.1.2008 14:32 to uz davno nerobia, zaspali ste dobu, alebo ste sa stretli s totalne amaterskym vytvorom. Vacsinou sa hodia ako driver, aby sa skryli pred avirmi, su tak na urovni jadra a samotny uzivatel nema ziadnu sancu detekovat Odpovedať Známka: 8.9 Hodnotiť:

jaa Od: jaa | Pridané: 11.1.2008 14:54 U mna sa bez hesla roota ani list na strome nepohne :-) Odpovedať Hodnotiť:

coeto Od: coeto | Pridané: 11.1.2008 22:34 coeto Rootkit? Odpovedať Hodnotiť:

Bozz Od: Bozz | Pridané: 13.1.2008 16:42 Koreňové náradie . Operaaaa ruls Odpovedať Známka: 5.0 Hodnotiť:

Kiwi Od: Kiwi | Pridané: 12.1.2008 0:42 WURMi asi pisal stealth virusy :) Odpovedať Známka: -5.0 Hodnotiť:

Uhlik Od: Uhlik | Pridané: 12.1.2008 16:35 > "Windows dovoľujú zmeniť MBR aj užívateľským aplikáciám" MBR je mozne menit len aplikaciam spustenym s administratorskymi privilegiami ... uzivatelske aplikacie nemaju pristup na zapis MBR a teda Windows Vista nie je mozne infikovat bez interakcie uzivatela ... Odpovedať Hodnotiť:

thriler Od: thriler | Pridané: 13.1.2008 19:04 To mas na mysli to blbe okno, v ktorom pri kazdom dvojkliku vyskakuje Allow? A ty to musis odkliknut? Cim sa vlastne MS podarilo zmenit dojklik na trojklik. :D Odpovedať Známka: -5.0 Hodnotiť:

14124 Od: 14124 | Pridané: 13.1.2008 0:01 Detegovat.. Odpovedať Známka: -8.9 Hodnotiť:

heker Od: heker | Pridané: 13.1.2008 19:20 preto pouzivam GNOME Odpovedať Známka: -8.9 Hodnotiť:

mrtvy_herpez Od: mrtvy_herpez | Pridané: 13.1.2008 21:00 chcel si povedat linux ? Odpovedať Známka: -7.8 Hodnotiť:

heker Od: heker | Pridané: 13.1.2008 22:22 nie, linux je tiez dobry, ale GNOME je lepsi Odpovedať Známka: -7.0 Hodnotiť:

fuxo Od: fuxo | Pridané: 14.1.2008 8:02 Tak teraz si ma zmiatol :) Fakt neviem, ci to myslis vazne, alebo si robis prdel... Odpovedať Známka: -4.0 Hodnotiť:

telefon Od: telefon | Pridané: 13.1.2008 22:03 chcel povedat konzolu:D Odpovedať Hodnotiť:

Bozz Od: Bozz | Pridané: 14.1.2008 19:37 heej ? :D Odpovedať Známka: -6.7 Hodnotiť:

Pridať komentár