Microsoft Malware Team baru saja menemukan versi baru dari bootkit Ronvix yang mampu menghijack private TCP/IP stack. Metode ini nampaknya juga tengah populer digunakan oleh malware-malware sejenis.
Bootkit Ronvix bekerja dengan cara melakukan patch ke tabel memory dan menghijack private TCP/IP. Hasilnya, bootkit tersebut bakal melewati proteksi firewall dan bisa mencuri atau mengirim paket data melalui private TCP/IP.
Software network traffic monitoring tidak akan mampu untuk melihat paket yang dikirim atau diterima melalui private TCP/IP stack. Oleh karena itu sulit untuk mendeteksi aktivitas bootkit Ronvix ini.
Beruntung Microsoft sudah mengupdate Windows Defender dengan database signature terbaru sehingga mampu mengenalinya. Windows Defender mengenali bootkit ini sebagai TrojanDropper:Win32/Rovnix.I, sedangkan volume boot yang terinfeksi akan dikenali sebagai Trojan:DOS/Rovnix.F.
So..pastikan database Windows Defender kamu selalu up to date.
via Microsoft
