Backdoor.Win32.Sinowal er et bootkit , der stjæler brugernes fortrolige oplysninger. Det er et Windows-program (PE-EXE-fil). Det er en boot-virus. Det blev opdaget i slutningen af marts 2009. Installationsprogrammets størrelse kan variere fra 300 til 460 KB.
Når det startes, skriver installationsprogrammet den krypterede bootkit-body til de sidste sektorer på harddisken, der er uden for den diskplads, der bruges af operativsystemet. For at sikre autoloading inficerer bootkittet computerens MBR , skriver dets bootloader ind i det, som før starten af operativsystemet læser fra disken og implementerer rootkit'ets hoveddel i hukommelsen , hvorefter det giver kontrol til OS og styrer opstartsprocessen.
For at skjule sin tilstedeværelse i systemet og forhindre detektion af antivirusprogrammer, opsnapper denne bagdør diskadgang på sektorniveau. For at gøre dette erstatter malwaren IRP_MJ_INTERNAL_DEVICE_CONTROL I/O-anmodningshåndteringen i den nyeste bootdiskstak-driver.
Da angribere aldrig har brugt sådanne teknologier før, var ingen af de eksisterende antivirusprodukter på tidspunktet for Sinowals fremkomst i stand til ikke kun at helbrede computere, der var ramt af Backdoor.Win32.Sinowal, men endda opdage problemet. Efter indtrængen i systemet sikrer bootkittet den skjulte funktion af hovedmodulet, fokuseret på at stjæle brugernes personlige data og deres forskellige konti.
Bagdøren downloader et tilføjelsesmodul, der indeholder spyware-funktionalitet fra angriberens websteder og injicerer det i brugerens processer, der kører i systemet. Spionmodulet opsnapper følgende krypteringsstøttesystemfunktioner:
og stjæler alle krypteringsnøgler, der bruges i systemet, samt krypterede og dekrypterede data. Rootkittet sender den indsamlede information til angriberens websted. Bagdøren bruger teknologien med konstant migrering af angriberens servere, hvortil der bruges en speciel algoritme til generering af et domænenavn afhængigt af den aktuelle dato.
I øjeblikket udføres distribution hovedsageligt gennem tre typer ressourcer:
I dette tilfælde bruges et script på ressourcerne , som starter den første fase af inficering af offeret. Omdirigering foretages til IP , som fra nu af - det domæne , som offeret omdirigeres til, genereres af scriptet . Generationen er baseret på den dato, der er indstillet på offerets computer.
En anden teknologi relateret til distribution er cookies , som virussen efterlader på offeret. Levetiden for disse cookies er 7 dage. Dette gøres for at identificere offeret, når scriptet genstartes. Cookies kontrolleres, og hvis scriptet afslører, at computeren allerede var under handling af en bagdør, så sker omdirigeringen ikke.
Opsporing og behandling af dette rootkit, som stadig breder sig på internettet, er den sværeste opgave, som antivirusindustrien har skullet håndtere i flere år. Men i dag behandles denne virus af næsten alle førende antivirusprogrammer.
| Hackerangreb fra 2000'erne | |
|---|---|
| Største angreb | |
| Grupper og fællesskaber af hackere | |
| enlige hackere | |
| Opdaget kritiske sårbarheder | |
| Computervirus |
|
| 1990'erne • 2000'erne • 2010'erne | |