रेशमी रूटकिट स्लाइड राडार के नीचे आगे

हजारों वेबसाइटों का पता लगाना मुश्किल बनाता है दुर्भावनापूर्ण सॉफ़्टवेयर का एक शक्तिशाली टुकड़ा देने के लिए चिल्लाया गया है कि कई सुरक्षा उत्पादों को संभालने के लिए तैयार नहीं किया जा सकता है।

दुर्भावनापूर्ण सॉफ़्टवेयर मेब्रूट का एक नया संस्करण है, जो एक प्रोग्राम "रूटकिट" के रूप में जाना जाता है, जो चुपके तरीके से गहराई से छिपा रहता है विंडोज ऑपरेटिंग सिस्टम, सुरक्षा कंपनी प्रीवक्स के शोध के निदेशक जैक्स इरास्मस ने कहा।

मेब्रूट का एक पुराना संस्करण, जो सिमेंटेक ने इसका नाम दिया था, सबसे पहले दिसंबर 2007 के आसपास दिखाई दिया और छिपे रहने के लिए एक प्रसिद्ध तकनीक का उपयोग किया। यह कंप्यूटर के मास्टर बूट रिकॉर्ड (एमबीआर) को संक्रमित करता है। बीआईओएस चलाने के बाद ऑपरेटिंग सिस्टम को बूट करते समय यह पहला कोड है।

[आगे पढ़ने: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

यदि एमबीआर हैकर के नियंत्रण में है, तो पूरे कंप्यूटर और इंटरनेट पर किसी भी डेटा को प्रसारित किया जाता है, इरस्मस ने कहा।

चूंकि मेब्रूट दिखाई दिया, सुरक्षा विक्रेताओं ने इसका पता लगाने के लिए अपने सॉफ्टवेयर को परिष्कृत किया है। लेकिन नवीनतम संस्करण छिपे रहने के लिए और अधिक परिष्कृत तकनीकों का उपयोग करता है, इरस्मस ने कहा।

मेब्रूट प्रोग्राम कर्नेल के विभिन्न कार्यों, या ऑपरेटिंग सिस्टम के कोर कोड में प्रोग्राम हुक लगाता है। एक बार मेब्रूट ने पकड़ लिया है, तो मैलवेयर तब दिखाई देता है कि एमबीआर को छेड़छाड़ नहीं किया गया है।

"जब कुछ एमबीआर स्कैन करने की कोशिश कर रहा है, तो यह किसी भी सुरक्षा सॉफ्टवेयर को पूरी तरह से दिखने वाला एमबीआर प्रदर्शित करता है," इरास्मस कहा।

फिर, प्रत्येक बार कंप्यूटर बूट होने पर, मेब्रूट स्वचालित रूप से स्मृति में विंडोज प्रक्रिया में इंजेक्ट करता है, जैसे svc.host। चूंकि यह स्मृति में है, इसका मतलब है कि हार्ड डिस्क पर कुछ भी लिखा नहीं गया है, एक और उत्पीड़न तकनीक, इरास्मस ने कहा।

मेब्रूट तब किसी भी जानकारी को चुरा सकता है और इसे HTTP के माध्यम से रिमोट सर्वर पर भेज सकता है। इरास्मस ने कहा कि मेब्रूट ने यातायात को छुपाए जाने के बाद से वायरसहार्क जैसे नेटवर्क विश्लेषण उपकरण को डेटा लीक आउट नहीं किया जाएगा।

कंपनी के उपभोक्ता ग्राहकों में से एक के बाद प्रीवॉक्स ने मेब्रूट के नए संस्करण को देखा। यह विश्लेषकों को कुछ दिनों तक नाखुश करने के लिए ले गया कि मेब्रोट ऑपरेटिंग सिस्टम में खुद को एम्बेड करने के लिए कैसे प्रबंधन कर रहा था। इरास्मस ने कहा, "मुझे लगता है कि इस समय हर कोई अपने [एंटीमाइवेयर] इंजनों को खोजने के लिए काम कर रहा है।" 99

और उन कंपनियों को तेजी से कार्य करने की जरूरत है। इरास्मस ने कहा कि ऐसा लगता है कि हजारों वेबसाइटों को कमजोर कंप्यूटरों के लिए मेब्रूट वितरित करने के लिए हैक किया गया है, जिनके पास उनके वेब ब्राउज़र के लिए उचित पैच नहीं हैं।

संक्रमण तंत्र को ड्राइव-बाय डाउनलोड के रूप में जाना जाता है। ऐसा तब होता है जब कोई व्यक्ति एक वैध वेबसाइट पर जाता है जिसे हैक किया गया है। एक बार साइट पर, एक अदृश्य आईफ्रेम एक शोषण ढांचे के साथ लोड किया जाता है जो यह देखने के लिए परीक्षण शुरू करता है कि ब्राउजर की भेद्यता है या नहीं। यदि ऐसा है, तो मेब्रूट वितरित किया जाता है, और उपयोगकर्ता को कुछ भी नहीं पता है।

"अब यह बहुत जंगली है," इरास्मस ने कहा। "हर जगह आप जाते हैं, आपके पास संक्रमित होने का मौका होता है।"

यह अज्ञात है कि मेब्रूट लिखा है, लेकिन ऐसा लगता है कि हैकर्स का एक उद्देश्य बस जितना संभव हो सके कंप्यूटर को संक्रमित करना है, इरस्मस ने कहा।

प्रीवक्स एक स्व-नामित विशेष सुरक्षा उत्पाद जो ब्राउज़र शोषण, पासवर्ड स्टील्स, रूटकिट्स और दुष्ट एंटीवायरस सॉफ़्टवेयर द्वारा ड्राइव का पता लगाने के लिए एंटीवायरस सॉफ़्टवेयर के साथ काम करता है।

प्रीवक्स ने बुधवार को अपने उत्पाद के 3.0 संस्करण को जारी किया। सॉफ़्टवेयर मैलवेयर संक्रमण का नि: शुल्क पता लगाएगा, लेकिन उपयोगकर्ताओं को पूर्ण निष्कासन कार्यक्षमता प्राप्त करने के लिए अपग्रेड करना होगा। हालांकि, प्रीवक्स 3.0 मेब्रूट सहित कुछ और बुरे दुर्भावनापूर्ण सॉफ़्टवेयर को हटा देगा, साथ ही किसी भी विज्ञापन सॉफ़्टवेयर को एडवेयर के रूप में जाना जाता है, नि: शुल्क, इरस्मस ने कहा।