Udbredt virus-familie benytter rootkit-teknik

Den udbredte virusfamilie Bagle, der begyndte som en simpel e-mailorm, er nu begyndt at forsøge sig med rootkit-teknologi, der kan skjule det ondsindede program på systemet.

Det advarer det finske antivirusfirma F-Secure, der har analyseret de seneste eksemplarer af Bagle-familien.

Bagle spreder sig i dag via en kompleks flertrinsstrategi, der skal gøre arbejdet sværere for antivirusfirmaerne.

De første Bagle-varianter var en e-mailorm, der ankom via e-mail, det samme program blev installeret på Windows-pc'en, indsamlede e-mailadresser og sendte kopier af sig selv videre.

Nu foregår processen ved, at et særskilt program udsender en såkaldt downloader, der hentes fra en server.

Downloaderen ankommer via e-mail til modtageren, som kører det vedhæftede program. Som navnet antyder henter downloaderen derefter fra en server selve bagdørsprogrammet, som igen kan hente andre ondsindede programmer.

Bagle-familien er således tæt knyttet til bagdørsprogrammet Mitglieder og de tilknyttede familier af ondsindede programmer.

Nu er de seneste varianter ovenikøbet begyndt at benytte sig af rootkit-teknik, der gør det muligt for det ondsindede program at skjule sig for resten af softwaren på systemet ved at gemme sig bag eksempelvis en falsk driver under Windows.

En virus eller andet ondsindet program, der benytter sig af et rootkit, kræver typisk særlig antivirussoftware, fordi det ondsindede program ikke er synligt for almindelige programmer.

F-Secure har ud over to nye Bagle-varianter også fundet en variant af Mydoom-familien, der benytter rootkit-teknik. Begge familier er blandt de mest udbredte virusinfektioner på internettet.

Ifølge F-Secure er der imidlertid tilsyneladende flere fejl i de nye varianter, hvilket kan antyde, at der endnu kun er tale om de første forsøg med en ny teknik.

Sikkerhedsfirmaet CSIS rapporterer dog samtidig om nye varianter, der blev udsendt i løbet af weekenden, som også indeholder et rootkit.

Relevant link

F-Secure om Bagle med rootkit