Pesquisadores da Trend Micro receberam uma amostra de um componente de uma solução de segurança Enterprise Information Security (EIS) que exibe o mesmo comportamento de um rootkit.
Sistemas Enterprise Information Security (EIS) são usados pelas empresas para o monitoramento de atividades em uma rede. Isto é feito para que a empresa tenha a certeza de que todos os processos de segurança são seguidos e que todas as atividades na rede estejam dentro das diretivas impostas pela empresa.
Ao executar o software, o arquivo SCS11HLP.SYS se registra como um driver e um serviço no sistema afetado. Depois disso, ele modifica o código do sistema para se ligar a algumas APIs e faz uma busca pelos processos winpop.exe, xhound.exe e xtsr.exe, todos relacionados ao próprio software.
Estes processos são ocultos, impedindo que o usuário possa vê-los mesmo através do Process Explorer. As informações conseguidas durante o monitoramento do sistema são armazenadas no diretório C:\XLog, que também é oculto pelo software.
O que chamou a atenção dos pesquisadores da Trend Micro é que o diretório C:\XLog, usado originalmente para armazenar as informações, pode ser explorado por autores de malwares. Ocultar pastas não é algo malicioso em si, mas os criadores de malwares podem começar a atacar sistemas com este software EIS instalado, escondendo seus malwares dentro dos diretórios do próprio software EIS.
Por coincidência, a empresa responsável por esse software EIS é a mesma por trás do rootkit do Sony MicroVault USM-F descoberto em 2007.
A Trend Micro já entrou em contato com a desenvolvedora do software e enquanto isso, o arquivo está sendo detectado como HKTL_ BRUDEVIC.
Rootkit encontrado no Sony MicroVault USM-F em 2007 é da mesma empresa
Fonte: TrendLabs Malware Blog
Alguns tópicos da Área de Malwares do Fórum do BABOO:
WIN32 não é um aplicativo válido
Vírus HQTube - análise de Logs
Possivel Infecção - Ajuda Por Favor
Virus enviando mensagem para meus contatos
