Stealthy Approach | 1 For All | D&D Comedy Web-Series
成千上万个网站被安装来提供一个强大的恶意软件,许多安全产品可能没有准备好处理。
恶意软件是Mebroot的一个新变种,这是一个被称为“rootkit”的程序,用于隐藏深藏在Windows操作系统,安全公司Prevx研究总监Jacques Erasmus说。
赛门铁克早先版本的Mebroot最早出现在2007年12月左右,并使用一种众所周知的技术保持隐藏。它感染计算机的主引导记录(MBR)。这是计算机在BIOS运行后启动操作系统时的第一个代码。
[更多阅读:如何从Windows PC中删除恶意软件]如果MBR受黑客控制,整个系统也是如此计算机及其上的任何数据或通过互联网传输的数据,Erasmus说。
自从Mebroot出现以来,安全厂商已经对他们的软件进行了改进以检测它。但最新版本使用了更复杂的技术来保持隐藏,Erasmus说。“Mebroot将程序挂钩插入到内核的各种功能或操作系统的核心代码中。一旦Mebroot采取行动,恶意软件就会显示MBR没有被篡改。
“当有东西试图扫描MBR时,它显示出一个非常好看的MBR到任何安全软件,”Erasmus
然后,每次启动计算机时,Mebroot会将自己注入内存中的Windows进程,如svc.host。由于它在内存中,这意味着没有任何东西被写入硬盘,这是另一种回避技术,Erasmus说。“然后Mebroot可以窃取任何它喜欢的信息并通过HTTP发送到远程服务器。网络分析工具如Wireshark不会注意到自Mebroot隐藏流量以来泄露的数据,Erasmus说。Prevx在公司的一位消费者客户感染后看到了Mebroot的新变种。分析师花了几天的时间才确定Mebroot是如何将自己嵌入到操作系统中的。 “我认为目前每个人都在努力修改他们的[反恶意软件]引擎来找到它,”Erasmus说,“而这些公司需要采取行动。 Erasmus表示,似乎有成千上万的网站遭到黑客攻击,将Mebroot交付给那些没有适合他们Web浏览器的漏洞的计算机。
感染机制被称为驱动式下载。它发生在一个人访问被黑客入侵的合法网站上。一旦在网站上,一个隐形的iframe加载了一个利用框架,开始测试以查看浏览器是否存在漏洞。如果是这样,Mebroot就会发货,用户也不会注意到任何东西。“
现在很流行,”Erasmus说。 “无论你走到哪里,你都有可能受到感染。”
Mebroot写的不是谁,但看起来黑客的一个目标是简单地感染尽可能多的计算机,Erasmus说。这是一款自行命名的专业安全产品,可与防病毒软件配合使用,以检测驱车通过的浏览器漏洞,密码窃取程序,rootkit和流氓防病毒软件。Prevx在周三发布了其3.0版本的产品。该软件将免费检测恶意软件感染,但用户必须升级才能获得完整的移除功能。然而,Prevx 3.0将免费更新一些更邪恶的恶意软件,包括Mebroot以及任何广告软件,称为广告软件,Erasmus说。