Tietoturva nyt!

7.7.2009

Mebroot-haittaohjelmatartuntoja suomalaisissa verkoissa

Vuoden 2008 alkupuolella yleistyneestä haittaohjelmasta edelleen havaintoja

Mebroot-haittaohjelmasta saatiin ensimmäisiä havaintoja vuoden 2007 lopussa ja vuoden 2008 alkupuolella. CERT-FI on saanut tänäkin vuonna joka kuukausi useita satoja ilmoituksia Mebroot-haittaohjelmatartunnoista.

Mebroot-haittaohjelman poistaminen on hankalaa, koska se tarttuu koneen kovalevyjen käynnistys- eli ns. MBR-lohkoon. Tällöin haittaohjelma pääsee käynnistymään ennen käyttöjärjestelmää ja virustorjuntaohjelmistoja, joten nämä eivät pysty sitä havaitsemaan. Mebroot-haittaohjelma asentaa koneelle käyttäjän tietoja varastavan nimillä Torpig, Anserin ja Sinowal tunnetun haittaohjelman, joka lähettää tiedot eteenpäin bottiverkon lokipalvelimille. Ohjelma pystyy rootkit-ominaisuuksiensa ansiosta piilottamaan tiedostoja ja verkkoliikennettä tietoturvaohjelmistoilta.

Haittaohjelma pystyy tarttuttamaan koneen, koska Windows-käyttöjärjestelmässä voidaan kirjoittaa kovalevyjen käynnistyslohkoihin käyttöjärjestelmän toimintoja käyttäen. Haittaohjelma tarttuu koneelle kuitenkin vain, jos konetta käytetään pääkäyttäjäoikeuksin. Asennuksen yhteydessä luodut käyttäjätunnukset kuuluvat vakiona Järjestelmänvalvojat-ryhmään. Uudemmissa Windows-käyttöjärjestelmissä, esimerkiksi Windows Vistassa, kovalevyjen käynnistyslohkoihin kirjoittaminen on estetty UAC-toiminnolla.

Mebroot-haittaohjelman havaitseminen ja poistaminen on mahdollista muunmuassa Symantecin ohjeitten mukaan Windowsin Recovery Console-työkalua käyttäen, tai F-Securen tarjoamalla käynnistysrompulla.

Lisätietoa

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/your_computer_is_now_stoned.pdf
http://www.symantec.com/connect/blogs/bootroot-trojanmebroot-rootkit-your-mbr
http://www.f-secure.com/weblog/archives/00001393.html

Sivua päivitetty 07.07.2009

Tulostusversio