SG.hu

Lopakodó féreg vette célba a vállalatok dokumentumait

Az F-Secure bejelentette, hogy a Myfip.H lopakodó féreg vállalati hálózatokat vett célba, és bizalmas dokumentumokat tulajdonít el.

A rootkit féreg kernel módú, fejlett rejtőzködési technikát alkalmaz, ezért észrevétlen marad a rendszergazdák és a hagyományos vírusvédelmi szoftverek számára. Jelenleg egyetlen kereskedelmi forgalomban lévő vírusvédelmi megoldás sem tartalmaz rootkit kereső technológiát.

A rootkit olyan szoftverkészlet, mellyel a hacker illetéktelenül megszerezheti a legmagasabb szintű rendszergazdai jogosultságot a rendszerben. A lopakodó férgek és rosszindulatú kódok egyre gyakrabban használnak rootkit funkciókat. A Myfip férget 2004-ben észlelték először, amikor a kártevő a fertőzött számítógépek pdf fájljait vette célba. A Myfip.H férget azzal a céllal írták, hogy számítógépeket fertőzzön meg, és ellopja az azokon tárolt adatokat. Más férgektől eltérően a Myfip.H önmagában nem terjed, spamekhez csatolt fájlokban érkezik a címzettekhez. Amikor a felhasználó rákattint a csatolt fájlra, a Myfip átvizsgálja a helyi merevlemezt és a vállalati hálózatot, majd fájlokat továbbít a támadónak.

Ha a rendszert már a vírusvédelmi szoftver telepítése előtt megfertőzte a rootkit kártevő, vagy a rootkit még azelőtt elrejti magát, hogy a vírusvédelmi szoftver frissülne, a vírusvédelmi megoldás képtelen a rosszindulatú kód észlelésére. "A kernel módú rootkit férgek minden olyan vállalatra veszélyt jelentenek, melyek digitálisan tárolt adatokkal rendelkeznek" - mondta el Mikko Hyppönen, az F-Secure kutatási igazgatója. "Miután a rootkit aktiválta magát a memóriában, a hagyományos vírusvédelmi szoftverek csak igen nehezen tudják felismerni."

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • [HUN]PAStheLoD #3
    Köszi köszi Billy boy ^.^
  • rage #2
    Nyilván, ha egy programot (vagy vírust) Windows alá írnak, akkor azon tud működni...
  • irkab1rka #1
    http://www.f-secure.com/v-descs/myfip_h.shtml

    When run, the worm copies under %SYSTEM% directory using the name 'kernel32dll.exe'. It creates a mutex named 'Meteo/EA[DCA]'. It installs the following registry key to ensure it will be executed next time the system is started:

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Distributed File System" = "kernel32dll.exe"

    The worm also creates a thread that adds the above registry key again if it is deleted.

    If the worm is running under Windows NT-based system, it tries to inject code in address space of Explorer.exe. The injected code re-executes worm's file if the process terminates. The implementation seems to be quite unstable and it might crash Explorer.exe.

    If the worm is running on Windows NT-based computer, it tries to hide its process by manipulating kernel data structures. This works only it worm is run under administrator privileges. If the system is Win9x-based, the worm tries to hide the process by issuing Win32 API call 'RegisterServiceProcess'.

    Namost ugye unixon sajnos még regisztry sincs :DDD
    mac-on sem... na vajon, melyik oprendszer is lehet veszélyben... hmmmmm....