Kaspersky Lab anihilează printr-o metoda unică noua versiune a rootkit-ului Sinowal

Pe tot parcursul anului 2008, experţii Kaspersky Lab au pus la dispoziţie rapoarte detaliate despre noile versiuni ale acestui rootkit: în primul raport trimestrial despre evoluţia malware-ului (http://www.viruslist.com/en/analysis?pubid=204792002) şi în articolul publicat pe blogul companiei: „Bootkit: provocarea anului 2008”. Cu toate acestea, noua variantă de Sinowal a fost o surpriză pentru cercetători.
Spre deosebire de versiunile anterioare, Backdoor.Win32.Sinowal (cunoscut şi ca Torpig sau Anserin) se introduce mult mai adânc în sistemul de operare pentru a evita detecţia de către produsele antivirus. Metoda de camuflare constă în interacţionarea sa cu procesele sistemului de operare, la cel mai scăzut nivel al acestuia, o tehnologie foarte sofisticată folosită acum pentru prima oară de către infractorii cibernetici. Astfel, se explică incapacitatea soluţiilor antivirus de a dezinfecta computerele virusate sau de a detecta rootkit-ul atunci când a apărut. Odată ce Sinowal este activ, el începe o procedură completă de monitorizare a activităţilor utilizatorului pentru a fura date personale sau informaţiile de acces în conturi, în special date de autentificare sau de tranzacţionare în sistemele de online banking şi de plăţi online.
Conform specialiştilor Kaspersky Lab, Sinowal s-a răspândit activ pe toată perioada lunii trecute prin intermediul unor site-uri infectate cu kit-ul Neosploit. De exemplu, Sinowal poate pătrunde în computer printr-o vulnerabilitate a programului Adobe Acrobat Reader, care permite unui fişier PDF infectat să fie descărcat pe calculator fără ştirea utilizatorului.
Implementarea unei metode capabile atât să detecteze, cât şi să elimine virusul, care încă se răspândeşte pe Internet, este una dintre cele mai dificile sarcini pe care au avut-o experţii antivirus în ultimii ani. Kaspersky Lab este printre primele mari companii de securitate care au inclus în produsele sale detecţia şi eliminarea cu succes a noii versiuni de Sinowal.
Pentru a verifica prezenţa rootkit-ului pe computer, utilizatorii trebuie să îşi actualizeze baza de date cu semnături a soluţiei antivirus şi să ruleze o scanare completă a sistemului. Dacă Sinowal este detectat, calculatorul va necesita un restart în timpul procesului de dezinfectare.
În acelaşi timp, specialiştii Kaspersky Lab recomandă utilizatorilor instalarea tuturor update-urilor de securitate pentru a închide vulnerabilităţile din Adobe Acrobat Reader (http://www.adobe.com/support/security/bulletins/apsb09-04.html) şi a celor din browser-ele de Internet folosite.