22 stycznia 2009

Kaspersky Lab publikuje artykuł zatytułowany "Bootkit: wyzwanie 2008 r."

Kaspersky Lab, producent rozwiązań do ochrony danych, opublikował raport zatytułowany "Bootkit: wyzwanie 2008 r.". Artykuł przedstawia szczegółową analizę incydentu z 2008 roku, który najlepiej obrazuje zagrożenie, jakie stanowi Malware 2.0.

Ewolucja MalWare 2.0 - nowej generacji szkodliwych programów - przysporzyła branży antywirusowej wielu problemów. Najpoważniejszy z nich polega na tym, że tradycyjne rozwiązania antywirusowe, oparte na analizie plików wyłącznie przy użyciu sygnatur szkodliwych programów lub heurystyki - metody pozwalającej na wykrywanie nieznanych zagrożeń, nie potrafią skutecznie zwalczać ataków Malware 2.0 (nie wspominając nawet o leczeniu zainfekowanych systemów).

Bootkit stanowił przełom technologiczny w branży tworzenia wirusów, a obecnie wyposażony jest w szereg technologii, które umożliwiają mu rozprzestrzenianie się oraz funkcjonowanie w ramach botnetu - sieci zainfekowanych komputerów. Wykorzystuje również wiele różnych metod w celu uniemożliwienia wykrycia programu w początkowych etapach infekcji, próbuje zainfekować jak najwięcej użytkowników oraz utrudnia próby zlikwidowania botnetu.

Uderzające jest wysoce zorganizowane podejście oraz technologie wykorzystywane w bootkicie: zaawansowany warsztat programistyczny, wykorzystywanie kilkudziesięciu luk w zabezpieczeniach innych aplikacji, manipulowanie trybem pracy programu w systemie operacyjnym, wersje dla systemów z rodziny Unix, moduły szyfrujące i inne skomplikowane zabiegi techniczne.

Historia bootkita pokazuje, jak dalece problemy bezpieczeństwa informacji dotykają zwykłych użytkowników. Wszystkie przeanalizowane wyżej technologie są obecnie aktywnie wykorzystywane w większości szkodliwych programów. Przeglądarka jako źródło infekcji, technologie rootkit, botnety, kradzież danych użytkownika, szyfrowanie, ukrywanie szkodliwych modułów, technologie zapożyczone z rozwiązań antywirusowych - wszystko to widzieliśmy już osobno, a teraz wszystkie te metody zostały zaimplementowane w bootkicie.

Ochrona przed tak złożonymi zagrożeniami wymaga zastosowania szeregu różnych technologii ochrony, takich jak: ochrona online, filtrowanie ruchu, analiza zachowania, piaskownica, analiza ruchu sieciowego i zaawansowana zapora sieciowa. Wniosek jest jeden - współczesne rozwiązanie antywirusowe powinno radzić sobie nie tylko ze zwalczaniem rootkitów, ale również z neutralizowaniem bootkitów.

Pełna wersja artykułu znajduje się w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://viruslist.pl/analysis.html?newsid=517.

Publikacja pełnej treści artykułu nie wymaga zgody, pod warunkiem podania jako autora firmy Kaspersky Lab wraz z odsyłaczem do strony kaspersky.pl oraz nazwy Encyklopedia Wirusów VirusList.pl wraz z odsyłaczem do strony viruslist.pl.

W przypadku publikacji skróconej lub zmodyfikowanej wersji prosimy o kontakt z działem PR firmy Kaspersky Lab Polska pod adresem: prasa@kaspersky.pl.