Stealthy Rootkit Slides Lebih Jauh Di Bawah Radar

Ribuan situs Web memiliki telah dicurangi untuk mengirimkan perangkat lunak berbahaya yang banyak produk keamanan mungkin tidak siap untuk ditangani.

Perangkat lunak berbahaya ini adalah varian baru dari Mebroot, program yang dikenal sebagai "rootkit" untuk cara tersembunyi yang tersembunyi jauh di dalam Sistem operasi Windows, kata Jacques Erasmus, direktur penelitian untuk perusahaan keamanan Prevx.

Versi sebelumnya dari Mebroot, yang merupakan nama Symantec, pertama kali muncul sekitar Desember 2007 dan menggunakan teknik terkenal untuk tetap tersembunyi. Ini menginfeksi Master Boot Record komputer (MBR). Ini kode pertama yang dicari komputer ketika mem-boot sistem operasi setelah BIOS dijalankan.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Jika MBR berada di bawah kendali peretas, maka seluruh komputer dan data apa pun yang ada di dalamnya atau ditransmisikan melalui Internet, kata Erasmus.

Sejak Mebroot muncul, vendor keamanan telah menyempurnakan perangkat lunak mereka untuk mendeteksinya. Tetapi versi terbaru menggunakan teknik yang jauh lebih canggih untuk tetap tersembunyi, kata Erasmus.

Mebroot memasukkan program ke berbagai fungsi kernel, atau kode inti sistem operasi. Setelah Mebroot mengambil alih, malware kemudian membuatnya tampak bahwa MBR belum dirusak.

"Ketika ada sesuatu yang mencoba untuk memindai MBR, ini akan menampilkan MBR yang sangat tampan ke perangkat lunak keamanan apa pun," Erasmus kata.

Kemudian, setiap kali komputer di-boot, Mebroot menyuntikkan dirinya ke dalam proses Windows dalam memori, seperti svc.host. Karena dalam memori, itu berarti tidak ada yang ditulis ke hard disk, teknik penghindaran lain, kata Erasmus.

Mebroot kemudian dapat mencuri informasi yang ia sukai dan mengirimkannya ke server jauh melalui HTTP. Alat analisis jaringan seperti Wireshark tidak akan melihat data bocor keluar karena Mebroot menyembunyikan lalu lintas, kata Erasmus.

Prevx melihat varian baru Mebroot setelah salah satu pelanggan konsumen perusahaan menjadi terinfeksi. Diperlukan analis beberapa hari untuk mengetahui persis bagaimana Mebroot mengelola untuk menanamkan dirinya dalam sistem operasi. "Saya pikir semua orang saat ini sedang bekerja untuk memodifikasi mesin [antimalware] mereka untuk menemukannya," kata Erasmus.

Dan perusahaan-perusahaan tersebut harus bertindak cepat. Erasmus mengatakan, tampak bahwa ribuan situs web telah diretas untuk mengirim Mebroot ke komputer rentan yang tidak memiliki tambalan yang tepat untuk browser Web mereka.

Mekanisme infeksi dikenal sebagai unduhan drive-by. Ini terjadi ketika seseorang mengunjungi situs web resmi yang diretas. Setelah berada di situs, iframe yang tidak terlihat dimuat dengan kerangka exploit yang memulai pengujian untuk melihat apakah browser memiliki kerentanan. Jika demikian, Mebroot dikirim, dan pengguna tidak melihat apa-apa.

"Di luar sana sangat liar sekarang," kata Erasmus. "Ke mana pun Anda pergi, Anda memiliki kesempatan untuk terinfeksi."

Tidak diketahui siapa yang menulis Mebroot, tetapi tampaknya satu tujuan dari para peretas adalah menginfeksi sebanyak mungkin komputer, kata Erasmus.

Prevx memiliki produk keamanan khusus bernama diri sendiri yang bekerja bersama perangkat lunak antivirus untuk mendeteksi eksploit browser drive-by, pencuri password, rootkit dan perangkat lunak antivirus nakal.

Prevx merilis versi 3.0 dari produknya pada hari Rabu. Perangkat lunak ini akan mendeteksi infeksi malware secara gratis, tetapi pengguna harus melakukan upgrade untuk mendapatkan fungsi penghapusan penuh. Namun, Prevx 3.0 akan menghapus beberapa perangkat lunak jahat lainnya, termasuk Mebroot, serta perangkat lunak periklanan apa pun, yang dikenal sebagai adware, gratis, kata Erasmus.