Análise de um RootKit

O italiano Marco Giuliano publica uma interessante análise de um rootkit que segundo o autor já infectou 250 mil PCs. Aqui vão alguns pontos que eu achei interessante:

?  O rootkit é instalado, como já está sendo de praxe, para proteger um spyware/adware. Como o autor nota, já passou o tempo em que malware era criado para demonstrar capacidade técnica e outras massagens de ego. A motivação hoje é claramente financeira, e o objetivo do rootkit é nem tanto impedir a detecção do spyware, e sim impedir a remoção. O rootkit esconde uma rotina que verifica se o spyware está presente, e se não estiver o reinstala. Para remover o spyware você precisa antes achar e desabilitar o rootkit.

?  A página usada para infecção identifica e trata separadamente Opera, Firefox e Internet Explorer, infectando todos eles. Interessante - cada vez mais vamos ver isso se o aumento de popularidade destes browsers persistir.

?  O nome do arquivo baixado é "www.google.com" - uma tentativa de engenharia social.

?  Para proteger o seu arquivo contra remoção ele cria um usuário no sistema, o adware usa esse usuário para encriptar o arquivo com EFS! É a primeira vez que eu vejo o EFS ser usado para dificultar a remoção de um malware.

?  O rootkit roda em modo de usuário, sem nenhum componente no kernel. O mecanismo de funcionamento parece com o Hacker Defender, e usa código em modo usuário para "hookar" uma série de APIs exportadas pela kernel32.dll, advapi32.dll, psapi.dll e ntdll.dll em todos os processos.

?  E o mais interessante: ele checa explicitamente se está rodando em uma máquina virtual, verificando em que endereço está o tabela de descrição de interrupções (IDT). Como vimos não é possível atualmente esconder do sistema que ele está sendo virtualizado, e o rootkit usa isso para não infectar máquinas virtuais e assim atrapalhar a análise por pesquisadores.

Esse é um bom exemplo da nova geração de código malicioso que estamos começando a enfrentar. Vale a pena ler integralmente o texto.

Comments

• Anonymous
  January 01, 2003
  Caro CGJunior, Sim, o Malicious Software Removal Tool (MSRT) da Microsoft detecta e remove alguns rootkits em modo kernel, como o F4IRootkit (http://www.microsoft.com/security/encyclopedia/details.aspx?name=WinNT%2fF4IRootkit) usado pelos CDs da Sony. Eu não entendi a questão sobre a técnica estar demorando para ser utilizada. De qual técnica você está falando? Abracos, - Fernando Cima

• Anonymous
  January 01, 2003
  The comment has been removed

• Anonymous
  January 01, 2003
  Fernando, Na minha humilde opnião chamo de técnica o rootkit. Pois pode ser usado para tudo que o programador quiser fazer. Pode ser para o bem ou para o mal. Mais pra que esconder se for para o bem?, para combater o mal?. Quiz dizer com essa pergunta, porque rootkits estão demorando tanto para acontecer?, tudo que leio sobre segurança fala de trojans, virus, worms, backdoors etc... e quase nada sobre eles utilizando essa técnica. Alguns até usam depois de instalados, baixam e executam mais coisas (payload 2?, desculpe se errei o termo) Valeu a sua resposta tão rápida. E me desculpe pois não sou da área mais adoro esse tema.

• Anonymous
  July 14, 2007
  Fernando, Depois do meu 1º post no seu blog te dando os parabéns, vem agora a dúvida cruel? Pergunto ou não pergunto?, será vou encher o saco? Mais como um simples usuário (sou comerciante e não trabalho nessa área) e apaixonado por informática, e por ser curioso, a área de segurança é a que mais me atrai. Eu te faço duas perguntas: 1- O MRT detecta rootkit em modo de kernel? Li no seu post "Microsoft Divulga Estatísticas de Malware" (set/2006) que o relatório confirma em 5º lugar um desses. 2- porque essa técnica está, na minha opinião, demorando tanto para ser utilizada?. A 1ª vez que ouvi falar de rootkits foi com o XPC da Sony. Tenho muito interesse por esse assunto, obrigado. CGJunior