레이더에서보다 은밀한 루트킷 슬라이드

수천 개의 웹 사이트가 있습니다. 많은 보안 제품이 처리 할 준비가되지 않은 강력한 악성 소프트웨어를 제공하도록 조정되었습니다.

악의적 인 소프트웨어는 Mebroot의 새 변종입니다. 악의적 인 소프트웨어는 숨겨진 은밀한 방식의 "루트킷"으로 알려진 프로그램입니다. Windows 운영 체제는 보안 회사 Prevx의 연구 책임자 인 자크 에라스무스 (Jacques Erasmus)가 말했습니다. 시만텍이 이전에 명명 한 Mebroot의 초기 버전은 2007 년 12 월경에 처음 등장했으며 잘 알려진 기술을 사용하여 숨어있었습니다. 컴퓨터의 마스터 부트 레코드 (MBR)를 감염시킵니다. BIOS가 실행 된 후 운영 체제를 부팅 할 때 컴퓨터가 찾는 첫 번째 코드입니다.

[추가 정보: Windows PC에서 맬웨어를 제거하는 방법]

MBR이 해커의 통제하에있는 경우 전체 컴퓨터 및 데이터가 인터넷 상으로 전송되거나 인터넷을 통해 전송된다고 에라스무스는 말했다.

Mebroot가 출현 한 이후 보안 업체들은 소프트웨어를 검색하여이를 탐지했다. 그러나 최신 버전은 훨씬 더 정교한 기술을 사용하여 숨겨진 상태로 유지됩니다. "924 Mebroot는 프로그램 기능을 커널의 다양한 기능이나 운영체제의 핵심 코드에 삽입합니다. 일단 Mebroot가 잡히면 악성 프로그램은 MBR이 변조되지 않은 것처럼 보입니다.

"MBR을 검사하려고 할 때 어떤 보안 소프트웨어에도 완벽하게 잘 보이도록 MBR을 표시합니다."Erasmus

그러면 컴퓨터가 부팅 될 때마다 Mebroot가 svc.host와 같은 메모리의 Windows 프로세스에 자신을 삽입합니다. 에라스무스는 Mebroot가 좋아하는 정보를 훔쳐 HTTP를 통해 원격 서버로 보낼 수 있다고 설명했다. 에라스무스는 Mevroot가 트래픽을 숨 겼기 때문에 Wireshark와 같은 네트워크 분석 도구가 데이터 유출을 감지하지 못한다고 전했다.

Prevx는 자사의 소비자 고객 중 한 명이 감염된 후에 Mebroot의 새로운 변종을 보았다. 애널리스트들은 며칠 동안 Mebroot가 어떻게 운영체제에 자신을 임베딩하는 것을 관리했는지 정확히 알 수있었습니다. 에라스무스는 "현재 모든 사람들이 맬웨어 방지 엔진을 수정하려고 노력하고 있다고 생각한다"고 말했다. 에라스무스는 웹 브라우저에 적절한 패치가없는 취약한 컴퓨터에 Mebroot를 제공하기 위해 수천 개의 웹 사이트가 해킹당한 것으로 나타났습니다.

감염 메커니즘은 드라이브 바이 다운로드로 알려져 있습니다. 해킹당한 합법적 인 웹 사이트를 방문하는 경우에 발생합니다. 일단 사이트에서 보이지 않는 iframe에는 브라우저가 취약점을 가지고 있는지 테스트하기 시작하는 익스플로잇 프레임 워크가로드됩니다. 그렇다면 Mebroot가 배달되고 사용자는 아무 것도 알지 못합니다. "920"지금은 매우 사나운 것입니다. "라고 Erasmus가 말했습니다. "당신이 가면 어디서나 감염 될 수 있습니다."994 Mebroot를 작성한 사람은 누구인지는 알 수 없지만 가능한 한 많은 컴퓨터를 감염시키는 것이 해커의 목표 중 하나라고 Erasmus는 전합니다.

Prevx는 루트킷 및 악성 안티 바이러스 소프트웨어를 탐지하기 위해 바이러스 백신 소프트웨어와 함께 작동하는 자체 이름이 지정된 특수 보안 제품입니다.

Prevx는 수요일에 자사 제품의 3.0 버전을 출시했습니다. 이 소프트웨어는 맬웨어 감염을 무료로 탐지하지만 사용자는 전체 제거 기능을 사용하도록 업그레이드해야합니다. 그러나 Prevx 3.0은 Mebroot를 비롯한 악의적 인 소프트웨어와 애드웨어로 알려진 광고 소프트웨어를 무료로 제거 할 것이라고 에라스무스는 전했다.