Niebezpieczny rootkit atakuje Windowsa 64-bit

Pojawił się wielofunkcyjny rootkit stanowiący zagrożenie dla 64-bitowych systemów Windows, którego główną właściwością jest wykorzystywanie specjalnego podpisu cyfrowego dla twórców oprogramowania.

Sterownik 64-bitowy zawiera tzw. "testowy podpis cyfrowy". W przypadku uruchomienia systemu Windows Vista lub Windows 7 w trybie "TESTSIGNING", aplikacje mogą aktywować sterowniki zawierające taki podpis. Jest to funkcja, którą Microsoft pozostawił dla programistów, aby mogli oni bez przeszkód testować swoje sterowniki. Niestety, dzięki niej cyberprzestępcy mogą uruchamiać własne twory bez odpowiedniego podpisu. W wyniku tego, rootkit może uruchomić się, omijając mechanizmy ochrony wbudowane w 64-bitowe  systemy Windows.

Rootkity te blokują próby zainstalowania lub uruchomienia przez użytkowników popularnych programów antywirusowych i skutecznie chronią same siebie poprzez przechwytywanie i monitorowanie aktywności systemu. Podczas gdy rootkit sprawia, że komputer PC jest podatny na ataki, inny szkodliwy program próbuje pobrać i uruchomić kolejne zagrożenia, łącznie z fałszywym oprogramowaniem dla systemu Mac OS X. Ten fałszywy antywirus jest wykrywany jako Hoax.OSX.Defma.f i stanowi jedno z nowych zagrożeń dla Mac OS X. Jego obecność świadczy o tym, że cyberprzestępcy wykazują coraz większe zainteresowanie systemami innymi niż Windows i testują możliwości tworzenia zagrożeń wieloplatformowych.

Więcej o atakach cyberprzestępców:

• Chiński bootkit atakuje system
• Iran zaatakowany kolejnym wirusem?
• Atak wymierzony w klientów banku BZ WBK

Źródło: Kaspersky Lab