ZeroAccess sau Max++. Asta “mesteca” toata lumea in zilele nostre pe internet cand vine vorba de infectii. Dar oare toti stiti ce este ZeroAccess?
In primul rand este un rootkit. Si nu orice rootkit, ci unul foarte puternic.
Conceptul de rootkit nu este nou, el este folosit de peste 10 ani.
Câteva caracteristici ale unui rootkit: ascunde fişiere şi directoare, permite acces de la distanţă la un sistem. Adică poate reprezenta o problemă de securitate.
Programele de acest tip nu au obligatoriu un caracter răuvoitor şi nu întotdeauna sunt utilizate de persoane rău intenţionate, un rootkit este doar o tehnologie, iar intenţiile în care sunt utilizate depind de cei care le utilizează. De exemplu rootkit-ul creat de firma Sony în anul 2005 cu numele XPC (Extended Copy Protection): pe anumite CD-uri cu muzică ale firmei Sony BMG Music Entertainment s-a folosit tehnologia anticopiere DRM (Digital Restrictions Management), care se instalează pe sistemele cu Windows (la introducerea CD-ului în unitatea optică) ca un rootkit sub numele Essential System Tools.
Unul dintre specialistii firmei Sysinternals confirmă că după o scanare cu Rootkit Revealer şi detectarea acestuia, utilizatorii care şterg fişierele îşi vor bloca sistemele. Dar programul putea fi folosit la răspândirea viruşilor.
Mai recent în anul 2007, firma de securitate F-Secure a detectat, folosind aplicaţia BlackLight Rootkit Eliminator, un rootkit în driverul software pentru stick-ul USB Sony MicroVault USM-F, care utilizează un cititor de amprente, dar prin ascunderea unui folder de către soft-ul respectiv se urmăreşte de fapt protecţia autentificării.
In versiunile recente de Windows, in special Vista si 7, Microsoft a introdus un numar de facilitati pentru a proteja PC-ul de malware. Dar atacatorii gasesc intotdeauna cai pe langa acele protectii si un exemplu elocvent este rootkit-ul care trece peste protectiile Windows privind politica driverelor semnate, desigur aici este TDL4(Alureon 64bit).
O sa spuneti ca este un rootkit nou. Nu chiar. El dateaza inca din 2009 cand a fost descoperit pentru prima oara. Pe atunci erau in voga MBR rootkit si TDL2.
ZeroAccess era atunci un rootkit nou, complet necunoscut(adica nu se stia creatorul) si putea sa omoare mai toate solutiile de securitate de la vremea aceea. Acesta mai poarta numele si de max++ rootkit deoarece creeaza un nou device la nivel de kernel cu numele __max++>. Numele de ZeroAccess provine de la un string gasit in codul driverului de la nivel de kernel (f:\VC5\release\ZeroAccess.pdb).
Malware-ul “omoara” automat orice solutie de securitate ce incearca sa scaneze componentele sale.
Sa vedem cum ajunge intr-un sistem acest malware. ZeroAccess este instalat de un dropper(un dropper este un program sa o componenta malware ce a fost gandita pentru a instala alte componente malware(virusi, backdoors, etc) intr-un sistem. Codul malitios este inclus in dropper in asa mod incat pacaleste detectia antivirus sau mai poate descarca alt malware in calculator. Dropperul a fost “botezat” de majoritatea companiilor din industrie cu Sirefef.
Acesta este de obicei luat prin crack-uri, patch-uri si alte “minunatii” de pe site-urile warez sau in cel mai rau caz prin exploit-uri(gauri de securitate in programele instalate).
Sa vedem cum infecteaza ZeroAccess sistemul. Dropper-ul selecteaza in mod aleator un driver din folderul systemroot\system32\drivers si suprascrie codul original, dar pastreaza si codul original ca backup. Tehnica este asemanatoare cu TDL3. In timp ce ZeroAccess seteaza un nou volum ascuns criptat in sistemul de fisiere, TDL3 creaza un sistem de fisiere nou criptat in ultimele sectoare ale harddisk-ulul, in afara sistemului de fisiere de pe masina. Amandoi stocheaza fisierele in locul criptat facand imposibila accesarea din sistemul de operare.
Diferentele de infectie se fac si la nivel de driver. Daca TDL 3 altereaza doar cu 1 KB codul original, ZeroAccess suprascrie tot codul.
De asemenea, parte interesanta vine acum: daca se incearca copierea fisierului infectat de pe sistem pe un stick, CD sau se face upload pe un site(gen VirusTotal.com), rootkit-ul livreaza fisierul original neinfectat si nealterat. Astfel victima crede ca sistemul este curat.
Prezenta ZeroAccess pe sistem se poate face si prin Task Manager. Daca vedeti un proces cu multe caractere formate din cifre(de exemplu: 38490485399:489489.exe) si acesta consuma extrem de putine resurse, dar sistemul per total este incarcat, sunt sanse mari sa aveti ZeroAccess in sistem.
Concluzie:
Max++ este unul dintre cei mai periculosi rootkits la nivel de kernel de pe internet. Nu are un impact asa mare ca familia TDL/Alureon, dar vine cu multe noutati in domeniu(periculoase) si are un vector de infectie destul de mare.
O analiza completa cu toate detaliile tehnice puteti gasi aici:
http://pxnow.prevx.com/content/blog/zeroaccess_analysis.pdf
De asemenea si niste rapoarte VirusTotal.com cu unele detectii(dropper+rootkit):
http://www.virustotal.com/file-scan/report.html?id=984b85ae900d482ee7c5ed8d8fd3d4a30ff7…
http://www.virustotal.com/file-scan/report.html?id=725ffbd16c5fa8af316d07e13ff…
http://www.virustotal.com/file-scan/report.html?id=a27944ab233975b0d36c8306dceeebeb1ceda67fd1…
http://www.virustotal.com/file-scan/report.html?id=4beb70b8968f9f52fa7148532…
Devirusare.com o sa prezinte in curand cea mai completa metoda de devirusare a unui sistem ce este infectat cu ZeroAccess
One Response to “ZeroAccess Rootkit / Max++ Rootkit / Sirefef Dropper”
Trackbacks/Pingbacks
- Devirusare ZeroAccess / Sirefef / Max++ Rootkit- ZeroAccess / Sirefef Rootkit Removal Tool | Devirusare.com - [...] ZeroAccess Rootkit/Max++ Rootkit si Sirefef Dropper Tot zilele trecute am scris despre ultima versiune de Hitman Pro si cat ...
- ZeroAccess Removal Tool de la Bitdefender. Devirusare Rootkit.Sirefef | Devirusare.com - [...] ZeroAccess Rootkit/Max++ Rootkit si Sirefef Dropper [...]
Bitdefender nu are nici pe naiba! Sunt curios cum se descurca BD si alti producatori de antivirus la virusul Ransom (din ce am vazut McAfee pica testul).
/imi cer scuze daca am gresit un termen specific