Den skadliga koden är en ny version av Mebroot. Den klassas som ett rootkit för dess funktioner att gömma sig djupt inne i Windows, säger Jacques Erasmus, ansvarig för forskning på säkerhetsföretaget Prevx.
En tidigare version av Mebroot cirkulerade runt december 2007 och använde en välkänd teknik för att dölja sig själv. Den infekterade datorns Master Boot Record (MBR) som är den första kod datorn kör vid uppstart innan operativsystemet ändrades.
Om skadlig kod styr MBR så styr det allt, och all data som skickas via internet.
Sedan Mebroot upptäcks, så har säkerhetsföretagen omdefinierat deras produkter för att upptäcka viruset. Men den senaste versionen använder mycket mer avancerade tekniker.
Mebroot ”hookar” (tar kontroll över) ett flertal funktioner i Windows operativsystem, och det ser ut som att MBR ser ut som vanligt. Den laddas dessutom endast in i minnet, så inga filer skrivs till hårddisken, vilket försvårar upptäckt.
Mebroot kan sedan stjäla information och skicka det via http. Trafikanalysprogram så som Wireshark kan inte se trafiken då Mebroot döljer det.
Nu sägs det att tusentals hemsidor har blivit hackade och preparerade för att sprida Mebroot. Tekniken kallas ”drive-by download” – Det sker när en person besöker en legitim sida som har blivit hackad. En osynlig iframe laddas med kod för att attackera sårbara webbläsare. Om attacken lyckades laddas Mebroot ner utan att använder märker någonting.
Det är okänt vem som skrev Mebroot med det verkar som om anledningen bakom koden är för att sprida den till så många datorer som möjligt.
Prevx distribuerar en specialiserad säkerhetsprodukt som upptäcker drive-by-downloads, lösenordsstjälare, rootkits och falska antivirus.
Mjukvaran utför gratis virussökningar men användare måste uppgradera till fullversionen för att ta bort eventuella fynd.
