Le rootkit furtif poursuit sa progression sous le radar

Des milliers de sites Web

Le logiciel malveillant est une nouvelle variante de Mebroot, un programme connu sous le nom de "rootkit" pour la manière furtive qu'il cache au plus profond de la planète. Windows système d'exploitation, a déclaré Jacques Erasmus, directeur de la recherche pour la société de sécurité Prevx.

Une version antérieure de Mebroot, qui est le nom de Symantec, est apparue vers décembre 2007 et a utilisé une technique connue pour rester caché. Il infecte le Master Boot Record (MBR) d'un ordinateur. C'est le premier code qu'un ordinateur recherche lors du démarrage du système d'exploitation après le BIOS.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Si le MBR est sous le contrôle d'un pirate, tout le

Depuis l'apparition de Mebroot, les éditeurs de sécurité ont affiné leur logiciel pour le détecter. Mais la dernière version utilise des techniques beaucoup plus sophistiquées pour rester caché, dit-il.

Mebroot insère des crochets de programme dans diverses fonctions du noyau, ou le code de base du système d'exploitation. Une fois que Mebroot a pris racine, le logiciel malveillant fait alors croire que le MBR n'a pas été falsifié.

"Quand quelque chose tente de scanner le MBR, il affiche un MBR parfaitement beau à n'importe quel logiciel de sécurité" Ensuite, chaque fois que l'ordinateur est démarré, Mebroot s'injecte dans un processus Windows en mémoire, tel que svc.host. Comme il est en mémoire, cela signifie que rien n'est écrit sur le disque dur, une autre technique évasive, dit Erasmus.

Mebroot peut alors voler toute information qu'il aime et l'envoyer à un serveur distant via HTTP. Les outils d'analyse de réseau tels que Wireshark ne remarqueront pas les fuites de données puisque Mebroot cache le trafic, dit-il.

Prevx a vu la nouvelle variante de Mebroot après l'infection d'un client consommateur de l'entreprise. Il a fallu quelques jours aux analystes pour savoir exactement comment Mebroot réussissait à s'intégrer dans le système d'exploitation. "Je pense que tout le monde travaille en ce moment sur la modification de leurs moteurs [antimalware] pour le trouver", a déclaré Erasmus.

Et ces entreprises doivent agir rapidement. Erasmus a déclaré qu'il semble que des milliers de sites Web ont été piratés pour livrer Mebroot à des ordinateurs vulnérables qui ne disposent pas des correctifs appropriés pour leurs navigateurs Web.

Le mécanisme d'infection est connu sous le nom de téléchargement drive-by. Cela se produit lorsqu'une personne visite un site Web légitime qui a été piraté. Une fois sur le site, un iframe invisible est chargé avec un framework d'exploitation qui commence à tester pour voir si le navigateur a une vulnérabilité. Si c'est le cas, Mebroot est livré, et un utilisateur ne remarque rien.

"C'est assez fou là-bas maintenant", a déclaré Erasmus. «Partout où vous allez, vous avez une chance d'être infecté.»

On ne sait pas qui a écrit Mebroot, mais il semble que l'un des buts des pirates est d'infecter autant d'ordinateurs que possible, a déclaré Erasmus. un produit de sécurité spécialisé auto-nommé qui fonctionne avec un logiciel antivirus pour détecter les exploits de navigateur, les voleurs de mots de passe, les rootkits et les antivirus non autorisés.

Prevx a publié la version 3.0 de son produit mercredi. Le logiciel détecte les infections de logiciels malveillants gratuitement, mais les utilisateurs doivent effectuer une mise à niveau pour obtenir la fonctionnalité de suppression complète. Cependant, Prevx 3.0 va supprimer certains des logiciels malveillants les plus dangereux, y compris Mebroot, ainsi que tout logiciel de publicité, connu sous le nom d'adware, gratuitement, a dit Erasmus.