Symantec обнаружила хакерское ПО, изменяющее загрузочный сектор компьютера

image

Теги: Symantec, вредоносный код, руткит

По словам экспертов Symantec, обнаруженный код - это принципиально новая разработка, которая не использует какие-либо ранее задействованные вредоносные коды, поэтому на сегодня далеко не все антивирусы способны обнаруживать новый руткит.

Компания Symantec сообщила об обнаружении нового образца хакерского программного обеспечения, способного изменять загрузочный сектор главного жесткого диска компьютера. В компании отмечают, что обнаруженное ПО относится к средствам удаленного администрирования (руткит) и предназначено для работы с Windows.

По словам экспертов Symantec, обнаруженный код - это принципиально новая разработка, которая не использует какие-либо ранее задействованные вредоносные коды, поэтому на сегодня далеко не все антивирусы способны обнаруживать новый руткит.

Руткит модифицирует код главного загрузочного сектора (master boot record), где хранится информация об операционной системе или системах (если их несколько), которой следует передать управление компьютером после проверки BIOS.

"Традиционные руткиты инсталлируются в системе как драйверы, примерно также как и остальное программное обеспечение и файлы. Эти драйверы грузятся вместе с операционной системой на этапе включения компьютера, но новый руткит записывает себя еще до операционной системы и начинает выполнятся до старта ОС", - говорит Оливер Фредрих, руководитель антивирусного подразделения Symantec.

"Такой метод дает беспрецедентный контроль над компьютером, фактически код прячется там, где ни один руткит до него не прятался", - говорит он.

По данным исследователей из института SANS, статистический анализ показал, что на сегодня данным руткитом заражены несколько тысяч компьютеров по всему миру, а первые признаки нового вредоносного кода появились в середине декабря 2007 года. Кроме того, в SANS сообщили, что обнаружили несколько сайтов, при помощи которых руткит распространяется.

"Это очень серьезная угроза и она показывает навыки ряда компьютерных преступников. Несмотря на то, что концепция несанкционированного модифицирования не нова, примененный подход ранее почти не использовался. Очевидно, что здесь поработали профессионалы, которые в последствии на базе этого кода могут создать и дополнительные схемы похищения данных и получения контроля над пользовательским компьютером", - говорят в Symantec.

В Verisign отметили, что первая волна атак нового руткита, судя по данным траффика, была 12 декабря, вторая - 19 декабря 2007 года. По словам Мэтью Ричардса, директора VeriSign iDefense Labs, на сегодня около 5 000 компьютеров заражены руткитом.

В Symantec говорят, что полученные на данный момент сведения свидетельствуют о том, что код работает только в Windows XP, пользователи Windows Vista пока находятся вне опасности, так как для своей работы руткит требует административных привилегий, а Vista при подобных обращениях выводит запрос на выполнение.

Еще одна опасность кода заключается в том, что из-за нахождения в главной загрузочной записи его крайне трудно обнаружить из операционной системы средствами антивируса. "Единственный верный способ удалить этот код - запуск консоли восстановления Windows c инсталляционного диска, также следует воспользоваться командой fixmbr в командной строке. В ряде BIOS есть функций для запрещения записи в загрузочный сектор, сейчас эта функциональность может оказаться полезной", - говорит Элия Флорио, антивирусный аналитик Symantec.

Более подробные данные о рутките можно получить по адресу gmer.net/mbr/


или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  
1
10-01-2008 11:09:22
Я плАчу... В симантеке опять открыли Америку
0 |
11-01-2008 08:02:28
О чём вы гражданин? Речь идёт не о загрузочном вирусе, а о рутките. Учите матчасть. До сих пор действительно не было известных руткитов с таким методом защиты. Symantec очень уважаемая компания с хорошими специалистами, отвечающими за свои слова и продукты. По крайней мере в отличие от многих других продуктов Symantec Corporate Edition не вызвал НИ ОДНОГО сбоя или конфликта на более чем 900 компьютерах в течение 6 лет моей работы.
0 |
1
11-01-2008 16:23:51
А все потому, что в вашей конторе их (комьютеров) всего 10.
0 |
10-01-2008 11:12:49
для своей работы руткит требует административных привилегий, а Vista при подобных обращениях выводит запрос на выполнение.Ага, а быдлоюзер всегда там тыкает "ок".
0 |
1
10-01-2008 11:16:44
Symantec лучше переименоваться в BayanTec. Они ведь скоро 0day-никогда-раньше-неиспользованый-супер-новый инжект в довереный процесс откроют...
0 |
1
10-01-2008 11:31:30
Ууу.. Сенсация! В 8 году XXI века симантег переименовал класс бутовых вирусов, перезаточенных под мастдай, в супер-дупер-новый вид руткитов )) Что-то как-то или вирусологи у них в конторе все разом заразились склерозом, или решили заняться профанац^Wпопуляризацией вирусологии среди ширящихся масс фанатов виндовс.
0 |
1
10-01-2008 11:34:37
Еще одна опасность кода заключается в том, что из-за нахождения в главной загрузочной записи его крайне трудно обнаружить из операционной системы средствами антивируса.считать MBR трудно? разве что домохозяйкам. если руткит стелсируется это тоже заметно, чтоб выжить при загрузке современной системы перехвата int 13h мало. он должен притвориться супервизором, что скорее всего закончится паникой ядра ОСи, получившей фиг вместо привелегированного режима. скорее всего руткит умеет встраиваться в Винду при загрузке. т. е. "Еще одна опасность кода заключается в том, что из-за нахождения в главной загрузочной записи его крайне трудно обнаружить из операционной системы Windows средствами антивируса." разница есть
0 |
1
10-01-2008 14:05:55
BootRoot никакой паники ядра не вызывает и работает себе. А домохозяйки ввобще не знают не то что про MBR, а и про автозапуск.
0 |
1
10-01-2008 19:27:39
считать MBR трудно? разве что домохозяйкам. если руткит стелсируется это тоже заметно, чтоб выжить при загрузке современной системы перехвата int 13h мало. он должен притвориться супервизором, что скорее всего закончится паникой ядра ОСи, получившей фиг вместо привелегированного режима.а кто сказал что ось не получит привилегированный режим? на новых камнях ему достаточно действовать как гипервизор. тогда как в истории с майкрософтовским VMBR - запускаем основную ОС, а параллельно - злодейскую ВМ, например какой-нить SLAX или DSL.
0 |
1
10-01-2008 11:53:57
В ряде BIOS есть функций для запрещения записи в загрузочный секторЭто надо еще поискать биос _без_ этой функции. И поискать идиотов, у которых она отключена во время нормальной работы.
0 |
10-01-2008 11:58:10
Во времена бутовых вирусов - эта защита в bios ни разу не помогала.
0 |
1
10-01-2008 13:02:48
Винда пишет на диск не через bios, поэтому никакое запрещение записи в загрузочный сектор на уровне bios не поможет. А потому и смысла в этой функции bios нет. Впрочем, я ни в одном bios ее еще не видел.
0 |
1
10-01-2008 13:29:14
"Virus varning" называется Уже давно есть во всех бивисах.
0 |
1
10-01-2008 14:09:54
Помнится, без её отключения никогда нельзя было поставить 98-ую винду.
0 |
1
10-01-2008 14:14:00
Господа бивис тут не причем
0 |
1
10-01-2008 14:27:42
Странно... Я еще во времена 95й винды привык на автопилоте эти опции лочить в биосе. И с тех пор бутовых вирусов и не видел. И даже первая же ссылка с гугла по теме "bios virus warning" дает вот такое[QUOTE]http://sdteam.com/?tid=2290 и там: "Virus Warning... разрешение этого параметра запрещает любую запись в загрузочный сектор жесткого диска без разрешения пользователя". И еще там же "Boot Virus Detection... если этот параметр запрещен, то до загрузки операционной системы BIOS переписывает загрузочный сектор во флэш-память и сохраняет его там. После установки параметра в значение Enabled BIOS не будет загружать систему с жесткого диска, если содержимое boot-сектора отличается от сохраненного в памяти". Так значит производители биоса мне нагло врут? Если не трудно, просвети меня темного, плиз, как оно на самом деле.
0 |
1
10-01-2008 13:32:51
dd if=/dev/hda of=/home/name/boot_save count=1024 //save ну понятно пока не заразились dd if=(все наоборот) //virus erased
0 |
1
10-01-2008 15:01:22
Ага, особенно интересно получится, когда ты между первой и второй командой успеешь немного изменить разбиение диска на разделы.
0 |
1
10-01-2008 18:11:12
s/1024/446 и таблица разделов цела)
0 |
1
10-01-2008 20:38:23
Вот так лучше. Но вообще, fixmbr делает то же самое.
0 |
1
15-01-2008 16:04:21
я если диск переразбиваю, то MBR по любому затираю, соответственно после новой разбивки перед установкой оси еще снимок сделать можно. не затирал только когда 2 оси стояли.
0 |
Страницы: 1  2  3  4  5