Home » Gaming Notebook

[ระวัง] รูทคิทร้ายพุ่งเป้าโจมตี Windows 64 bit

29 Nov 10 - By l

แคสเปอร์สกี้ แลป ผู้นำด้านการพัฒนาโซลูชั่นเพื่อความปลอดภัยของคอนเท้นท์ ตรวจพบรูทคิทร้ายสารพัดพิษ สามารถบุกรุกเข้าไปได้ทั้งในระบบวินโดว์ 32 และ 64 บิทได้ ลักษณะพิเศษของรูทคิท64 บิท คือเป้าหมายไม่ได้อยู่ที่การเจาะผ่านระบบป้องกันหลัก PatchGuard แต่จะใช้ซิกเนเจอร์ดิจิตอลพิเศษสำหรับนักพัฒนาซอฟท์แวร์แทน รูทคิทจะถูกแพร่กระจายผ่านนักดาวน์โหลดซึ่งจะพยายามติดตั้งซอฟท์แวร์ประสงค์ร้ายอื่นๆ พ่วงมาด้วย ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลปพบสิ่งผิดปกติหนึ่งที่พยายามดาวน์โหลดและติดตั้ง Rogue และซอฟท์แวร์แอนตี้ไวรัสปลอมสำหรับระบบปฏิบัติการ Mac OS X กับมัลแวร์อื่นๆ ถึงแม้ว่ามัลแวร์นี้จะไม่ทำงานระบบวินโดว์แต่ก็แสดงให้เห็นว่าอาชญากรไซเบอร์สามารถแสวงหาผลประโยชน์จากแฟลตฟอร์มอื่นๆ ได้

virus-protection

รูทคิทคือโปรแกรมประสงค์ร้ายที่มักจะแฝงตัวอยู่ในรูปของไดร์เวอร์และสามารถรันใน kernel หรือแกนกลางของระบบปฏิบัติการและโหลดเมื่อบูทระบบซึ่งจะทำให้ตรวจพบรูทคิทได้ยากเมื่อใช้เครื่องมือป้องกันตามมาตรฐานทั่วไป รูทคิทต้องสงสัยแพร่กระจายผ่านการดาวน์โหลดด้วยการใช้ BlackHole Exploit Kit? โดยทั่วไปแล้ว ผู้ใช้คอมพิวเตอร์จะติด เชื้อจากการเข้าไปในเว็บไซต์ที่มีตัวดาวน์โหลด ช่องโหว่ในซอฟท์แวร์ทั่วไปเช่น Java Runtime Environment และ Adobe Reader จะตกเป็นเป้าโจมตี ไม่ว่าจะเป็นระบบปฏิบัติการ 32 บิทหรือ 64 บิทก็ติดเชื้อได้ด้วยรูทคิทชนิดคล้ายๆกัน

SkullKey2_2

?ไดร์เวอร์ 64 บิทจะถูกตีตราด้วยสิ่งที่เรียกว่า ?testing digital signature? ถ้าวินโดว์วิสต้าหรือสูงกว่านั้นบูทในโหมด ?TESTSIGNING? แอพพลิเคชั่นจะดึงให้ไดร์เวอร์ที่ตีตราไว้ทำงานภายใต้ซิกเนเจอร์นั้น นี่คือเครื่องดักจับพิเศษที่ไมโครซอฟท์ทิ้งไว้ให้นักพัฒนาไดร์เวอร์ ดังนั้นพวกเขาจึงทดสอบสิ่งประดิษฐ์ของพวกเขาได้ อาชญากรไซเบอร์ได้หาประโยชน์จากช่องโหว่ที่อนุญาตให้ไดร์เวอร์ทำงานโดยไม่ต้องมีซิกเนเจอร์ที่ถูกกฎหมาย? อเล็กซานเดอร์ กอสเตฟ, หัวหน้าผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ แลป อธิบาย ?นี่คืออีกตัวอย่างหนึ่งของรูทคิทที่ไม่จำเป็นต้องผ่านระบบป้องกัน PatchGuard ในระบบ Windows x64 ล่าสุด?

รูทคิททั้งสองมีฟังก์ชันที่เหมือนกัน โดยจะบล็อคการการติดตั้ง หรือรันโปรแกรมแอนตี้มัลแวร์จากผู้ใช้ และป้องกันตัวเองอย่างมีประสิทธิภาพโดยการสกัดกั้นและเฝ้าดูการทำงานของระบบ ขณะที่รูทคิทปล่อยให้คอมพิวเตอร์ช่องโหว่ในการโจมตี ตัวดาวน์โหลดจะรับและรันโค้ดที่เป็นภัยคุกคามนี้ รวมถึง Rogue AV สำหรับ Mac OS X แอนติ้ไวรัสปลอมนี้รู้จักกันในชื่อ Hoax.OSX.Defma.f และเป็นตัวคุกคามใหม่ต่อ Mac OS X ซึ่งเป็นเป้าหมายจู่โจมจากโจรกรรมทางอินเตอร์เน็ตมากขึ้นเรื่อยๆ

 

human-comp-virus_02-300x225

จากตัวอย่างได้แสดงให้เห็นว่า ซอฟแวร์มุ่งร้ายซับซ้อนมากขึ้นเรื่อยๆ และเริ่มเพิ่มคอมโพเน้นท์ให้หลากหลายเพื่อรองรับวัตุประสงค์การใช้งานได้มากขึ้น การคุกคามนี้อาจพุ่งเป้าไปยังระบบปฏิบัติการหลายๆเวอร์ชั่นหรือแม้กระทั้งแพลตฟอร์มที่ต่างออกไป

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลปสามารถตรวจจับและแก้ไขตัวดาวน์โหลด Trojan-Downloader.Win32.Necurs.a และรูทคิทที่คล้ายกัน Rootkit.Win32.necurs.a / Rootkit.Win64.Necurs.a ได้



© Copyright - Notebookspec.com All Rights