Обнаружен первый вирус-rootkit

18 июль, 2006 - 13:29
Backdoor.Rustock.A или Mailbot.AZ, о котором сообщают антивирусные эксперты, это первое ПО, обнаруженное за пределами лабораторий, которое классифицируется как rootkit. Таким термином обозначаются программные средства, предназначенные для сокрытия работающих процессов, файлов или системных данных, помогающие хакеру избегать обнаружения сохраняя контроль над зараженным компьютером.

Хотя Symantek расценивает Rustock.A как незначительную угрозу из-за ее слабых возможностей распространения, программа использует ряд новых техник, делающих ее почти недоступной для выявления стандартными средствами.

Порождаемые ею процессы замаскированы среди потоков драйверов и ядра, кроме того, она детектирует работу антивирусных программ и прячет свой драйвер в альтернативном потоке данных, затем удаляет себя из списка скрытых драйверов. Вирус не использует системных API и является полиморфным -- его код постоянно изменяется.

Исследования показали, что этот rootkit способен работать с бета-версией Windows Vista, т.е. создан с прицелом на будущее. По мнению экспертов есть основания думать, что следующие модификации программы уже на подходе, и что авторы вирусов возьмут на вооружение и усовершенствуют техники, дебютировавшие в Rustock.A.

Symantec и F-Secure уже выпустили апдейты, призванные содействовать в обнаружении и удалении вируса.