Microsoft bojuje s Alureon rootkitem

Napsal (») 15. 6. 2010 v kategorii Bezpečnost, přečteno: 2233×
windows-security-logo.jpg

Již druhý měsíc v řadě se Microsoft snaží odstranit mutující rootkit, který zablokoval některé uživatele systému Windows od instalování bezpečnostních aktualizací. Podle Centra prevence malwaru společnosti Microsoft jenom tento měsíc zaznamenal "Malicious Software Removal Tool" (nástroj pro odstranění škodlivého softwaru) tímto rootkitem je nakaženo více než 360 000 stanic s nainstalovaným systémem Windows. Toto číslo reprezentuje 18.2% všech detekcí tento měsíc, více než zdvojnásobený výsledek z dubna (8.3%).

Detektor, odstranění.

MSRT je zdarma aktualizován každý měsíc jako část Microsoftího "patch úterý" a je distribuován stejně jako ostatní aktualizace skrz "Windows update" službu. Minulý měsíc update obsahoval vyhledávací mechanismus a dokázal odstranit 260 000 výskytů tohoto rootkitu. Ačkoliv není Alureon rootkit úplným nováčkem na malware poli (Symantec jej identifikoval v roce 2008) tak se do popředí zájmů dostal teprve nedávno, když Microsoft potvrdil, že Alureon způsobuje pád počítače nakaženým uživatelům, při pokusu o aktualizace systému. Když množství pádu stanic rostlo, rozhodl se Microsoft přidat "detektor" tohoto malwaru, aby zajistil, že tyto stanice nebudou stahovat aktualizace a nebudou tak padat.

Nemožnost instalace updatů, vývoj.

Dokud nebude Alureon odstraněn nemohou nakažené stanice nainstalovat aktualizace MS10-015 a MS10-021. Není nezvyklé, že MSRT odstraňuje části malwaru ze stanic až po několika měsíčním běhu, ale je neobvyklé, že počet detekcí roste i po vydání detekčního softwaru. Inženýři v MMPC říkájí, že 37% růst je dán novými variantami viru. "Bylo zde několik změn designu rootkitu, změn takových aby bylo možné se vyhnout detekci a smazání. Toto odhaluje, že je rootkit stále ve vývoji." Říká Joe Johnson z MMPC.

Napadení systémových ovladačů.

Johnson dále uvedl další špatné zprávy. "Jedna ze změn byla taková, aby rootkit nakazil i systémové ovladače ne pouze miniport driver, toto může mít negativní vliv na stanici vzhledem ke zvolenému ovladači." Některé stanice s Windows XP musí být reaktivovány, protože si systém myslí, že uživatel vyměnil jeden nebo více hardwarových komponentů stanice. Nejvíce je zasažen Windows XP (65%, SP3) následovaný Windows XP (14%, SP2), ale jenom 3.5% nakažených stanic běží na Windows 7.

Hodnocení:     nejlepší   1 2 3 4 5   odpad
Facebook Twitter Topčlánky.cz Linkuj.cz

Komentáře

Článek ještě nebyl okomentován.


Nový komentář

Téma:
Jméno:
Notif. e-mail *:
Komentář:
  [b] [obr]
Odpovězte prosím číslicemi: Součet čísel sedm a jedna