it-säkerhet

Så lurar nästa generation rootkit antivirusprogrammen

Lämna en kommentar

En av världens mest sofistikerade rootkit-varianter kodas om från grunden för att undgå upptäckt, varnar experter.

It-säkerhetsexperter från ESET varnar för att nästa generation TDL inte är långt borta. TDL är en Windows-infekterande rootkit-variant som Kaspersky Lab tidigare beskrivit som den mest avancerade varianter av skadlig kod som någonsin skapats. Syftet verkar vara att göra den nya varianten, TDL4, ännu mer sofistikerad och svårupptäckt för antivirusprogram.

– Baserat på analys av dess komponenter kan vi säga att några av dessa har skrivits om helt från grunden, medan några är oförändrade från tidigare versioner, bekräftar David Harley, huvudansvarig för ESETS datainsamling av skadlig kod.

TDL, även känd som TDSS, är i grunden en familj rootkit-mjukvaror som utmärker sig genom sina komplexa och innovativa tekniker för att undgå upptäckt.

Det finns flera egenskaper som skiljer TDL4 från konkurrerande varianter, uppger Harely. Till exempel kan den infektera Windows-system baserade på 64-bitars arkitekturer, utnyttja Kad-klient-till-klient-nätverk (p2p) för att ta emot kommandon. Den kan även skapa egen specialkonstruerad startsektor (master boot record) på hårddiskar för att dölja sig från antivirusprogram.

Enligt ESET:s forskare modifierar virusmakarna för närvarande de delar som styr hur TDL4 infekterar datorer. Istället för att lagra delar av koden i hårddiskarnas startsektor, skapar den nya varianten en dold partition i slutet av hårddisken och fastställer den som aktiv. Åtgärden säkrar att skadlig kod som lagras där, inklusive en uppstartande del (boot loader), startas innan själva operativsystemet. Det betyder också att den vanliga startsektorn (som antivirusprogram kan söka igenom) förblir oförändrad.

Kodens kvalitet och de avancerade teknikerna som döljer koden är en stark indikator på professionell mjukvaruutveckling, konstaterar ESET.

Grundtipset är som tidigare att hålla sina mjukvaror och antivirusprogram uppdaterade, menar it-säkerhetsföretaget. Detta för att minska risken för en infektion till att börja med.

Källa: IDG News

 

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s