Трояны эволюционировали // 29 Ноября 2012

Трояны эволюционировали

PandaLabs обнаружила несколько троянов, использующих новую революционную форму атаки на основе руткитов.

Новизна данной атаки заключается в том, что руткиты теперь скрываются при помощи замены основной загрузочной записи (MBR) - первый или нулевой сектор жесткого диска – одной из собственных записей, которая начинает выполнять еe функции.

PandaLabs, лаборатория компании Panda Security, которая занимается анализом и выявлением вредоносного ПО, обнаружила несколько троянов с включенными в них руткитами (MBRtool.A, MBRtool.B, MBRtool.C и др.), предназначенными для замещения основной загрузочной записи (MBR) - первого или нулевого сектора жесткого диска, одной из своих собственных записей. Это настоящая революция в использовании руткитов, поскольку такое их использование значительно затрудняет обнаружение ассоциированного вредоносного кода.

Подобная система атаки делает практически невозможным обнаружение руткитов и вредоносных кодов, в составе которых они скрываются после установки на компьютере”, - говорит Луис Корронс, технический директор PandaLabs. - “Единственная реальная защита – это выявление руткитов до их проникновения в компьютер. В преддверии появления подобных вредоносных кодов необходимо использовать проактивные технологии, способные обнаруживать угрозы без необходимости предварительной идентификации”.

Использование руткитов кибер-преступниками направлено на сокрытие действий вредоносных кодов, что затрудняет их обнаружение. Ранее руткиты устанавливались в системных процессах, но последние варианты, обнаруженные PandaLabs, устанавливаются в той части жесткого диска, которая запускается еще до старта операционной системы.

Когда один из руткитов запускается, он создает копию существующей MBR, изменяя оригинал по инструкциям злоумышленников. Это означает, что при попытке доступа к MBR, руткит перенаправит запрос к подлинной записи, чтобы пользователь или приложение ничего не заподозрили.

В результате внесенных изменений, когда пользователь запускает компьютер, регулирующая MBR загрузится перед операционной системой. В этот момент запустится весь код, скрывая ассоциирированный вредоносный код.

Ранее руткиты использовались для того, чтобы скрывать расширения или процессы, а новые экземпляры могут напрямую обманывать системы. Их месторасположение означает, что пользователи не заметят никаких аномалий в системных процессах, поскольку загруженный в память руткит будет отслеживать доступ к диску и скрывать ассоциированное вредоносное ПО от системы.

Пользователям необходимо предпринять меры для защиты от нового вида угрозы. В частности, никогда не запускайте файлы, полученные из неизвестных источников.

Для того чтобы удалить вредоносный код, зараженному пользователю необходимо перезагрузить компьютер при помощи загрузочного CD-диска, чтобы исключить использование MBR. Затем нужно будет восстановить MBR при помощи улититы наподобие fixmbr в консоли Windows recovery (если используется именно эта операционная система).

Эти руткиты также способны работать с другими платформами, такими как Linux, поскольку их действия не зависят от установленной на компьютере операционной системы”, - добавляет Корронс.

Источник: Viruslab

Читайте еще:

Ручка с детектором Wi-Fi

Ручка с детектором Wi-Fi

В последнее время стали появляться различные товары со встроенным определителем беспроводных точек Wi-Fi доступа. Чисто теоретически, такой определитель можно вмонтировать куда угодно, начиная с мобильного телефона и закачивая любым предметом одежды. Но пока были замечены только подобные сумки для ноутбуков. Теперь очередь...

26 Мар 2013

Оригинальный музыкальный инструмент на основе жевательной резинки

Оригинальный музыкальный инструмент на основе жевательной резинки

Иногда просто удивительно, до чего умные пошли студенты. Им на свежую голову, приходят действительно оригинальные идеи. Студенты американской информационной школы Беркли придумали музыкальный инструмент, который они назвали Bubblegum Sequencer. Устройство состоит из прямоугольной поверхности с четырьмя рядами круглых отверстий, под ней расположена...

11 Ноя 2012

Удалось увеличить скорость передачи данных по ИК-порту в 250 раз!

Удалось увеличить скорость передачи данных по ИК-порту в 250 раз!

До последнего времени никто не стал бы спорить, что скорость передачи данных через Bluetooth-соединение или по беспроводной сети WiFi намного быстрее и эффективнее, чем по инфракрасному порту. Но в связи с последними разработками компании KDDI R&D Laboratories данное утверждение можно подвергнуть сомнению. Разработчикам компании удалось...

22 Дек 2012

16.04.2013
Total Commander - лучший среди файловых менеджеров
Если еще недавно все радовались появлению Windows и его «удобнейшему» интерфейсу с окнами, где перемещать...
16.04.2013
Avast - один из лучших бюджетных антивирусов
Не мало количество пользователей, не скрывающих необходимость в защите компьютера при помощи антивирусов пользуются именно...
16.04.2013
NOD32 Smart Security 6, получил обновление!
Компания ESET является одним из самых мощных разработчиков, выпускающих качественное программное обеспечение, направленное на защиту...
30.05.2012
Осторожно спам Сбербанка
В последнее время участилась массовая рассылка фишинговых электронных писем от мошенников, якобы работников Сбербанка России....
29.05.2012
Новый вирус в сети интернет
"Лаборатория Касперского" обнаружила новую вредоносную программу, которая активно используется в качестве кибероружия , распространяемого по...