Reverzné inžinierstvo opäť slávi úspech

19.11.2010 | 20:44 | dodoedo | Novinky

Špecialista reverzného inžinierstva na analýzu malware, Giuseppe Bonfa (pracovník InfoSec Institute), uverejnil analýzu veľmi pokročilého crimeware pre MS Windows - stealthy ZeroAccess rootkitu (a.k.a. Smisce), ktoré vraj pochádza z kuchyne crimeware skupiny Russian Business Network. Predmetná analýza (z ktorej sa dá čerpať postup na vypracovanie obrany voči takémuto crimeware) krok-za-krokom rozobrala konštrukciu tohoto malware a ukazuje celú vnútornú silu tohoto rootkitu, ktoré je prakticky nemožné odstrániť bez toho, aby sa neporušil operačný systém hosta. Tvorca celého malware si totiž dal veľmi záležať na znemožnení zistenia štruktúry a detekcie tohoto rootkitu, pretože použil nízko-úrovňové (low-level) programové volania pre vytvorenie skrytých NTFS-zväzkov na pevnom disku hosta. Takto vytvorené diskové zväzky je prakticky nemožné detekovať stávajúcimi technikami analýzy prienikov do systému, jednoducho sú neviditeľné bežnými technikami.