Pe tot parcursul anului 2008, expertii Kaspersky Lab au pus la dispozitie rapoarte detaliate despre noile versiuni ale acestui rootkit: n primul raport trimestrial despre evolutia malware-ului (www.viruslist.com) si in articolul publicat pe blogul companiei: Bootkit: provocarea anului 2008. Cu toate acestea, noua varianta de Sinowal a fost o surpriza pentru cercetatori.
Spre deosebire de versiunile anterioare, Backdoor.Win32.Sinowal (cunoscut si ca Torpig sau Anserin) se introduce mult mai adnc n sistemul de operare pentru a evita detectia de catre produsele antivirus. Metoda de camuflare consta in interactionarea sa cu procesele sistemului de operare, la cel mai scazut nivel al acestuia, o tehnologie foarte sofisticata folosita acum pentru prima oara de catre infractorii cibernetici. Astfel, se explica incapacitatea solutiilor antivirus de a dezinfecta computerele virusate sau de a detecta rootkit-ul atunci cnd a aparut. Odata ce Sinowal este activ, el incepe o procedura completa de monitorizare a activitatilor utilizatorului pentru a fura date personale sau informatiile de acces in conturi, in special date de autentificare sau de tranzactionare in sistemele de online banking si de plati online.
Conform specialistilor Kaspersky Lab, Sinowal s-a raspndit activ pe toata perioada lunii trecute prin intermediul unor site-uri infectate cu kit-ul Neosploit. De exemplu, Sinowal poate patrunde n computer printr-o vulnerabilitate a programului Adobe Acrobat Reader, care permite unui fiSier PDF infectat sa fie descarcat pe calculator fara Stirea utilizatorului.
Implementarea unei metode capabile atat sa detecteze, cat si sa elimine virusul, care inca se raspandeste pe Internet, este una dintre cele mai dificile sarcini pe care au avut-o expertii antivirus in ultimii ani. Kaspersky Lab este printre primele mari companii de securitate care au inclus in produsele sale detectia si eliminarea cu succes a noii versiuni de Sinowal.
Pentru a verifica prezenta rootkit-ului pe computer, utilizatorii trebuie sa isi actualizeze baza de date cu semnaturi a solutiei antivirus si sa ruleze o scanare completa a sistemului. Daca Sinowal este detectat, calculatorul va necesita un restart in timpul procesului de dezinfectare.
in acelasi timp, specialistii Kaspersky Lab recomanda utilizatorilor instalarea tuturor update-urilor de securitate pentru a nchide vulnerabilitatile din Adobe Acrobat Reader (www.adobe.com) si a celor din browser-ele de Internet folosite.
