Stealthy rootkit-dia's Verder onder de radar

te detecteren. Duizenden websites hebben is gefrustreerd om een ​​krachtig stuk kwaadaardige software af te leveren waar veel beveiligingsproducten mogelijk niet mee overweg kunnen.

De schadelijke software is een nieuwe variant van Mebroot, een programma dat bekendstaat als een "rootkit" voor de onopvallende manier waarop het zich diep in de computer verbergt. Windows-besturingssysteem, zegt Jacques Erasmus, onderzoeksdirecteur van het beveiligingsbedrijf Prevx.

Een eerdere versie van Mebroot, zoals Symantec het noemde, verscheen voor het eerst rond december 2007 en gebruikte een bekende techniek om verborgen te blijven. Het infecteert het Master Boot Record (MBR) van een computer. Dit is de eerste code die een computer zoekt bij het opstarten van het besturingssysteem nadat het BIOS wordt uitgevoerd.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Als de MBR onder controle van een hacker staat, is de volledige code computer en alle gegevens die erop staan ​​of via internet worden verzonden, zei Erasmus.

Sinds Mebroot is verschenen, hebben beveiligingsleveranciers hun software verfijnd om het te detecteren. Maar de nieuwste versie gebruikt veel geavanceerdere technieken om verborgen te blijven, aldus Erasmus.

Mebroot voegt programmahaken in verschillende functies van de kernel, of de kerncode van het besturingssysteem. Als Mebroot eenmaal in gebruik is genomen, laat de malware vervolgens zien dat er met de MBR niet is geknoeid.

"Wanneer iets de MBR probeert te scannen, toont het een perfect knappe MBR voor elke beveiligingssoftware," Erasmus zei.

Elke keer dat de computer wordt opgestart, injecteert Mebroot zichzelf in een Windows-proces in het geheugen, zoals svc.host. Omdat het in het geheugen zit, betekent dit dat er niets naar de harde schijf is geschreven, een andere ontwijkende techniek, zei Erasmus.

Mebroot kan vervolgens alle gewenste informatie stelen en deze via HTTP naar een server op afstand verzenden. Netwerkanalysetools zoals Wireshark zullen de gegevens die uitlekken niet zien omdat Mebroot het verkeer verbergt, zei Erasmus.

Prevx zag de nieuwe variant van Mebroot nadat een van de consumentenklanten van het bedrijf geïnfecteerd raakte. Het kostte een paar dagen aan analisten om exact vast te stellen hoe Mebroot erin slaagde zichzelf in het besturingssysteem te integreren. "Ik denk dat iedereen momenteel werkt aan het aanpassen van hun [antimalware] -motoren om het te vinden," zei Erasmus.

En die bedrijven moeten snel handelen. Volgens Erasmus zijn duizenden websites gehackt om Mebroot te leveren aan kwetsbare computers die niet de juiste patches voor hun webbrowser hebben.

Het infectiemechanisme staat bekend als een drive-by-download. Dit gebeurt wanneer een persoon een legitieme website bezoekt die is gehackt. Eenmaal op de site is een onzichtbaar iframe geladen met een exploit-framework dat begint met testen om te zien of de browser een kwetsbaarheid heeft. Als dat het geval is, wordt Mebroot afgeleverd en merkt een gebruiker niets.

"Het is er vrij wild nu," zei Erasmus. "Overal waar je komt, heb je een kans om geïnfecteerd te raken."

Het is onbekend wie Mebroot heeft geschreven, maar het lijkt erop dat een van de doelen van de hackers is om zo veel mogelijk computers te infecteren, zei Erasmus.

Prevx heeft een zelfbenoemd gespecialiseerd beveiligingsproduct dat samen met antivirussoftware werkt om exploits van externe browsers, wachtwoorddieven, rootkits en valse antivirussoftware te detecteren.

Prevx heeft de 3.0-versie van zijn product op woensdag vrijgegeven. De software detecteert gratis malware-infecties, maar gebruikers moeten upgraden om de volledige verwijderingsfunctionaliteit te krijgen. Prevx 3.0 zal echter kwaadaardige kwaadaardige software, inclusief Mebroot, en alle advertentiesoftware, bekend als adware, kosteloos verwijderen, aldus Erasmus.