Rootkitet építenek a vírusírók a legújabb Bagle férgekbe

[eWeek] Egyre okosabbak a Bagle féreg különöző variánsai: az F-Secure szakértői szerint a Bagle egyik legújabb változata, a Bagle.GE rootkitet telepítve rejtőzködik el a kíváncsi szemek, így a vírusirtó alkalmazások elől. A féreg egy kernelmeghajtót is hordoz magában, mely az operációs rendszer magját támadva elrejti a Bagle férgekhez tartozó folyamatokat és regisztrációs adatbázisban elhelyezett kulcsokat a víruskereső alkalmazások elől.

Az úgynevezett rootkiteket elsősorban arra használták a számítógépes rendszereket támadók, hogy hátsó ajtót nyissanak az operációs rendszeren és elfedjék tevékenységük nyomait. Ez a régi támadási módszer a közelmúltban került újra reflektorfénybe, amikor a Sony CD-lemezein alkalmazott másolásvédelem szintén kifogásolható módon, rootkitként rejtőzve települt fel a felhasználók számítógépére, potenciális biztonsági rést nyitva ezzel a vírusírók számára.

A Bagle.GE féregbe épített rootkit nem csak folyamatokat, úgynevezett processzeket, hanem könyvtárakat, állományokat, regisztrációs adatbázis bejegyzéseket is elrejt, sőt, a kernelmodul segítségével megakadályozza egyes biztonsággal kapcsolatos alkalmazások futását is. A Bagle.GE leállítja víruskergető alkalmazásokat és törli az azokhoz tartozó állományokat.

Szakértők szerint a Bagle variánsai több számítógépet fertőztek meg eddig, mint bármely más ismert víruscsoport. A különböző variánsok komplex hálózatot alkotnak a fertőzött gépekből és még egymást is segítik a terjedésben, illetve az újabb vátozatok elrejtésében. A most felfedezett, rootkitet tartalmazó Bagle variánsok mellett a jövőben valószínűleg újabb és újabb változatok fognak felbukkanni hasonló, továbbfejlesztett képességekkel. Az F-Secure már arra is bizonyítékot talált, hogy a Mydoom-alapú Gurong.A-ban is rootkitet helyeztek el a kártékony kód fejlesztői. A Gurong.A e-mailben és a Kazaa állománycserélőben megosztott könyvtárakon keresztül terjed.