Ny type trojaner-angrep vekker bekymring

Et nytt angrepssystem gjør det nærmest umulig å oppdage rootkits etter at de først er blitt installert.

Panda Securitys laboratorium, PandaLabs, har oppdaget trojanere som inkluderer rootkits i blant annet MBRtool-familien som er designet for å erstatte den første sektoren på harddisken, gjerne kjent som Master Boot Record (MBR), med seg selv. Dette skal være en revolusjon innen bruken av rootkits og vil gjøre det enda vanskelige å oppdage den ondsinnede koden som rootkitet skjuler.

- Dette angrepssystemet gjør det praktisk talt umulig å oppdage rookitet og den ondsinnede koden de skjuler, så snart de er installert på en datamaskin, sier Luis Corrons, teknisk direktør for PandaLabs, i en pressemelding.

- Det eneste mulige forsvaret er å oppdage disse rootkitene før de kommer inn på datamaskinen. I forventning om at det vil komme annen, tilsvarende ondsinnet kode, er det essensielt å bruke proaktive teknologier som kan oppdage trusler uten at truslene tidligligere er blitt identifisert, sier Corrons.

Målet med rootkits, når de brukes av datakriminelle, er å skjule annen skadevare og å gjøre bruken av denne vanskeligere å oppdage.

Ifølge PandaLabs har rootkits til nå blitt installert i systemprosesser, men de nye rootkitene blir nå installert i en del av harddisken som kjøres før operativsystemet startes opp. Rootkitet vil lage en kopi av den eksisterende MBR-en, men modifisere den med ondsinnede instruksjoner. Dette betyr at hvis det blir gjort noe forsøk på å få tilgang til MBR-en, vil rootkitet omdirigere forsøket til den opprinnelige, noe som vil hindre brukerne eller programvare i å finne noe mistenkelig.

Rootkits som har blitt brukt til nå, har blitt brukt til å skjule utvidelser eller prosesser. Med den nye plasseringen kan ikke brukerne oppdage noe unormalt med systemprosessene, siden rootkitet som er blitt lastet inn i minnet, vil overvåke all aksess til harddisken for å gjøre all den tilknyttede skadevaren usynlig for systemet.

- Disse rootkitene er uavhengige av operativsystemet installert på datamaskinen, sier Corrons.

Heldigvis er det ganske enkelt å fjerne rootkitet. Det gjøres ganske enkelt ved å starte opp PC-en fra en oppstarts-CD, noe som gjør at MBR ikke benyttes. Deretter må brukeren benytte et verktøy som kan gjenopprette den opprinnelige MBR-en. I Windows Recovery Console kan kommandoen fixmbr benyttes.

Til toppen