Útoky na 64bitové Windows nabírají na intenzitě

Útočníci vytvořili škodlivý software, který dokáže obejít ochranu PatchGuard v 64bitových verzích operačních systémů Windows.

Červ Rootkit.Win64.Necurs.a., pro jehož vytvoření byl použit ruský soubor nástrojů Blackhole Exploit Kit, zneužívá dvě chyby v Javě a Adobe Readeru. Po jeho stáhnutí do počítače oběti se spustí příkaz "bcdedit.exe -set TESTSIGNING ON", který obvykle používají programátoři pro testování ovladačů při jejich vývoji. Tím se deaktivuje bezpečnostní nástroj PatchGuard (známý také jako Kernel Patch Protection), který brání neautorizovanému softwaru měnit jádro 64bitových Windows, takže útočníkům již nic nepřekáží v načtení jejich škodlivého kódu.

V ohrožení jsou majitelé všech verzí Windows používající PatchGuard. Patří mezi ně 64bitové Windows XP, Vista, Windows 7 a také Windows Server. Po infikování počítače má červ dvojí účinek. Dokáže zablokovat spuštění antivirového programu, který by jinak přítomnost škodlivého kódu rozpoznal a učinil by kroky nutné pro jeho odstranění. Kromě toho se malware pokouší také o stažení falešného antiviru Hoax.OSX.Defma.f, který lze však spustit pouze na operačním systému Mac OS X. „Zdá se, že útočníci se snaží svůj falešný antivirový program distribuovat pomocí prostředníků, kteří vůbec nechápou, co se to děje,“ píše na svém blogu Vyacheslav Zakorzhevsky, výzkumník z Kaspersky Lab.