แคสเปอร์สกี้ ปราบ MBR rootkit จนราบคาบ


วายร้าย MBR rootkit ต้องถอยทัพกลับบ้านเกิดเนื่องจากแคสเปอร์สกี้แลปแจ้งว่าสามารถกำจัดพร้อมป้องกัน MBR rootkit รูปแบบใหม่ได้อย่างสมบูรณ์แบบ รูปแบบใหม่ของ Sinowal, ซึ่งเป็นโปรแกรมไม่พึงประสงค์ที่สามารถซ่อนตัวได้ในระบบโดยการติดไวรัส MBR ในฮาร์ดไดรฟ์ ได้ถูกตรวจจับได้โดยผู้เชี่ยวชาญของบริษัทเมื่อปลายเดือนมีนาคมที่ผ่านมา

ตลอดปี 2008 นักวิจัยจากแคสเปอร์สกี้แลปได้มีการจัดเตรียมรายงานเกี่ยวกับการแปลงรูปต่างๆของ rootkit ซึ่งในส่วนแรกของรายงานนั้นเกี่ยวกับวิวัฒนาการของมัลแวร์ (http://www.viruslist.com/en/analysis?pubid=204792002) และในบทความ “Bootkit: the challenge of 2008” (http://www.viruslist.com/en/analysis?pubid=204792044) กล่าวว่ารูปแบบใหม่ของไวรัสตัวนี้ได้สร้างความประหลาดใจให้นักวิจัยไม่น้อยไม่เหมือนกันเวอร์ชั่นเก่าๆเนื่องจาก Backdoor.Win32.Sinowal นั้นมีการฝังตัวในระบบได้ลึกกว่าและมีการเลี่ยงหลบระบบป้องกันได้มากกว่า กลโกงที่ถูกใช้เป็นกับดักกับ device object ในระบบปฏิบัติการระดับต่ำที่สุด นี่เป็นครั้งแรกที่คนร้ายให้เทคโนโลยีที่สลับซับซ้อนในการโจมตี และนี่คือเหตุผลว่าทำไมไม่มีโปรดักส์ใดสามารถจัดการกับเครื่องที่ติดไวรัส Sinowal รูปแบบใหม่นี้ได้ เมื่อใดก็ตามที่ bootkit เจาะระบบได้ มันจะปกปิด payload’s activities ที่ถูกออกแบบมาเพื่อการขโมยข้อมูลและรายระเอียดต่างๆของผู้ใช้

เดือนที่ผ่านมาพบว่า bookit ออกฤทธิ์ และแพร่กระจายจากไซด์ต่างๆมากมายที่ใช้ช่องโหว่ Neosploit ซึ่งในทางปฎืบัติมันสามารถจะลึกสู่ระบบผ่านทางช่องโหว่ใน Adobe Acrobat Reader ซึ่งอนุญาตให้ไฟล์ PDF ที่ไม่พึงประสงค์ดาวน์โหลดได้โดยไม่ต้องใช้ความรู้จากผู้ใช้ การเอาชนะไวรัสตัวนี้ถือเป็นงานที่ยากและท้าทายเป็นอย่างมากซึ่งผู้เชี่ยวชาญด้านแอนตี้ไวรัสทั่วโลกได้ดำเนินการมาคลอดหลายปี แคสเปอร์สกี้แลปถือเป็นหนึ่งในผู้ผลิตแอนตี้ไวรัสที่สามารถป้องกันและดูแลความปลอดภัย Sinowal เพื่อการตรวจสอบว่าเครื่องติดไวรัส bootkit หรือไม่นั้น ผู้ใช้ต้องอัพเดทดาค้าเบสของแอนตี้ไวรัสที่มีและสแกนเครื่องแบบสมบูรณ์ ถ้าเครื่องติดไวรัสจริง เครื่องจะทำการบูทระหว่างกระบวนการ treatment process

แคสเปอร์สกี้ แลปยังแนะนำให้ผู้ใช้อินสตอล necessary patches เพื่อปิดช่องโหว่ใน Acrobat Reader (http://www.adobe.com/support/security/bulletins/apsb09-04.html) และเบราเซอร์ที่ใช้ต่างๆด้วยเช่นกัน

กลับขึ้นด้านบน