Rootkit ''Necurs'': opasni malver zarazio desetine hiljada računara u novembru

Opisi virusa, 10.12.2012, 09:40 AM

Prema podacima Microsoft-ovog Centra za zaštitu od malvera (Microsoft Malware Protection Center), samo u novembru otkriveno je 83427 računara zaraženih rootkitom "Necurs", višenamenskim malverom koji ugrožava računare sa 32-bitnim i 64-bitnim Windows sistemima. Malver se distribuira u drive-by download napadima sa sajtova koji hostuju ozloglašeni BlackHole exploit kit.

Necurs kao i većina rootkitova je veoma opasan zahvaljujući činjenici da je reč o veoma kompleksnom malveru koji uspešno izbegava detekciju zaštitnog softvera instaliranog na računaru. Malver je osposobljen da preuzima dodatne malvere, onemogući veliki broj antivirusnih programa i instalira backdoor. Osim toga, Necurs omogućava napadačima daljinski pristup zaraženom računaru, monitoring nad aktivnostima korisnika, slanje spama i instalaciju scarewarea. Neke verzije malvera ubacuju kod u sve aktivne procese. Taj kod koji se naziva „mrtav bajt“ ubačen u određene sistemske procese uzrokuje restartovanje računara.

Ipak, ključna karakteristika ovog malvera je sposobnost da izbegne otkrivanje od strane antivirusa što mu obezbeđuje poziciju dugotrajne pretnje na zaraženim računarima.

Drajver malvera se redovno ažurira kako bi rootkit ostao što duže neprimećen na računaru. Pored toga, malver je osposobljen da izbegne Kernel Patch Protection (PatchGuard) u 64-bitnom Windowsu, čija je uloga da spreči bilo koju modifikaciju kernela. Da bi zaobišao PatchGuard na 64-bitnim operativnim sistemima, malver koristi takozvni "test-signing" metod. „TESTSIGNING“ mod omogućava učitavanje probnog digitalnog potpisa. Ako se Windows Vista ili kasnije verzije pokrenu u „TESTSIGNING“ modu, programi mogu pokrenuti drajvere sa ovakvim digitlanim potpisom. Microsoft je ostavio ovu mogućnost programerima drajvera kako bi mogli da testiraju svoje drajvere. Međutim, TESTSIGNING opcija nije uključena „po defaultu“ što znači da se ovakvi drajveri neće učitavati osim ako se ne omogući ovaj mod. Da bi obezbedio učitavanje malicioznog drajvera, Necurs pokreće komandu "bcdedit.exe -set TESTSIGNING ON".

Hakerski alat, Black Hole exploit kit, koji služi za distribuciju rootkita Necurs je jedan od najčešće korišćenih paketa explota na internetu. Komercijalne verzije Black Hole prodaju se na hakerskim forumima. Downloaderi se nalaze na kompromitovanim veb sajtovima i instaliraju exploite koji napadaju ranjivosti u funkcijama i aplikacijama što rezultira infekcijom računara. U septembru je objavljena 2.0 verzija Black Hole exploit kit koja između ostalih poboljšanja prethodne verzije, donosi i funkcionalnost generisanja domena zahvaljujući čemu se napadi sele na nove domene onda kada se ugase stari kompromitovani domeni. Pored toga, iz nove verzije su uklonjeni i exploiti za ranjivosti koje su zakrpljene.