Трояны маскируют руткиты с помощью MBR

≡ Безопасность | Новости | 14.01.2008 11:19

Лаборатория PandaLabs компании Panda Security обнаружила несколько троянов с включенными в них руткитами (MBRtool.A, MBRtool.B, MBRtool.C и др.), предназначенными для замещения основной загрузочной записи (MBR) жесткого диска своими собственными вариантами записей.

Это настоящая революция в использовании руткитов, уверены специалисты компании Panda Security, поскольку такое их использование значительно затрудняет обнаружение ассоциированного вредоносного кода. Единственная реальная защита - это выявление руткитов до их проникновения в компьютер.

Когда один из руткитов запускается, он создает копию существующей MBR, изменяя оригинал по инструкциям злоумышленников. Это означает, что при попытке доступа к MBR руткит перенаправит запрос к подлинной записи, чтобы пользователь или приложение ничего не заподозрили.

В результате внесенных изменений, когда пользователь запускает компьютер, регулирующая MBR загрузится перед операционной системой. В этот момент запустится весь код, скрывая ассоциированный вредоносный код. Пользователи не заметят никаких аномалий в системных процессах, поскольку загруженный в память руткит будет отслеживать доступ к диску и скрывать ассоциированные с ним вирусы от системы.

Для того чтобы удалить вредоносный код, зараженному пользователю необходимо перезагрузить компьютер при помощи загрузочного CD и восстановить MBR при помощи улититы наподобие fixmbr в консоли Windows recovery (если используется именно эта операционная система). Новые руткиты способны работать с другими платформами - например, с Linux, - поскольку их действия не зависят от установленной на компьютере операционной системы, отмечает Луис Корронс, технический директор PandaLabs.

Вероятно, господин Корронс имеет в виду возможные в будущем модификации руткитов, использующих MBR, так как сейчас, по данным компании Symantec, вредоносные программы этого типа работают только под Windows XP/2000. В Windows Vista возможность запуска таких вирусов исправили еще на стадии Release Candidat 2.

Как сообщает CNet, по данным VeriSign iDefense Labs, к 7 января 2008 года новыми троянами было заражено около 5000 компьютеров. Первая эпидемия случилась 17 декабря прошлого года (1800 зараженных ПК), вторая – 19-22 декабря (3000 пострадавших компьютеров).

Как справедливо заметили аналитики PandaLabs, трояны эти сложно обнаружить и удалить, но вполне можно предотвратить из попадание на компьютер. По данным CNet, вирусы загружаются на компьютер через сайты с вредоносным iframe, причем для установки на компьютер в ОС должны быть не закрыты следующие уязвимости:

Microsoft JVM ByteVerify (MS03-011)
Microsoft MDAC (MS06-014)
Microsoft Internet Explorer Vector Markup Language (MS06-055)
Microsoft XML CoreServices (MS06-071)

комментарии(1) |

разделы: Новости | Безопасность

Материалы по теме

Panda Software сообщает о новой угрозе — руткиты
«Лаборатория Касперского» об использовании rootkit-технологий
Возможности rootkit и борьба с ними
«Касперскому» не понравился руткит от Sony
Panda Software отметила небезопасность ПО от Sony