"Лаборатория Касперского" обезвредила уникальный MBR-руткит

image

Теги: Лаборатория Касперского, руткит

Компания "Лаборатория Касперского" провела детальный анализ работы нового варианта уникального MBR-руткита, известного под названием Sinowal.  

Компания "Лаборатория Касперского" сообщает о детектировании и лечении нового варианта уникального MBR-руткита.

Новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жесткого диска, был обнаружен экспертами компании в конце марта 2009 года.

По заявлениям исследователей, новый вариант руткита стал для них настоящим сюрпризом. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств — самом «глубоком» уровне работы операционной системы. Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.

По данным "Лаборатории Касперского", буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.

Обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. "Лаборатория Касперского" одной из первых среди ведущих антивирусных компаний реализовала в своих существующих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.

Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера.

Также эксперты "Лаборатории Касперского" рекомендуют всем пользователям установить необходимые патчи, закрывающие уязвимости в Acrobat Reader и используемых браузерах.


или введите имя

CAPTCHA
Страницы: 1  2  3  4  
Мне тут интересно стало, а как они его обнаружили? Самы логичный ответ - "мы сами написали это вирус".
0 |
фетиш-мастер [Малиновые штаны]
12-05-2009 12:28:06
Мне тут интересно стало, а как они его обнаружили?у дяди жени, видимо, бабло поперли вот он и дал задание проверить ежемесячные побайтовые дифы своего винта... )
0 |
zuekg
12-05-2009 14:09:09
Школьнег детектед. Ты бы только видел сколько им приходится лопатить, свои вирусы им в край не нужны..
0 |
Bad-XxX
13-05-2009 01:33:48
За всю историю антивирусов было очень много "игрушек", которые ловил только один антивирус, пока остальные нервно курили в сторонке на протяжении месяца. Так рассуди и подумай, какие деньги готовы платить антивирусные компании за то, чтобы на протяжении месяца был такой мощный пиар. Большинство вирусняков было разработано студентами либо перекроено из готового школьниками, изредка строителями ботнетов и вебмани-гопников, но всё же, существуют экземпляры "игрушек", которые были созданы, чтобы "взять фору" у других антивирусов. Так что, не удивлюсь если этот "сеновал" и есть творчество народов лаборатории касперского. Далеко ходить не надо, тот же Sality или как его если не ошибаюсь, в прошлом году его кроме касперского никто не ловил, уж очень хорошо самокриптовался. Другие также помню, но названия вспоминать не удаётся, помню червя, поражающего файл svchost.exe, который кроме Avira никто не палил очень долго, NOD'a с его хитрым руткитом, который единственно верно его удалял, пока остальные удаляли напрямую на протяжении очень долгого времени, что приводило к последующей невозможности запустить систему и т.п. Для сравнения тебе цифры (моего города): Рекламный щит: 25000 руб Дизайн-проект: 2000-5000 руб Печать баннера: 5000-7000 руб Итого: ~35000 руб Это средне-высокая з/п в моём городе для одного программиста C++ в месяц. Так что ты думаешь, что проще: напечатать 10 баннеров и напичкать по одному городу или нанять группу из 10 программистов на месяц, которые за этот срок напишут такого "зверька", которого ещё никто толком не сможет детектировать на протяжении месяца, а реклама не на один мусохранск, а на весь мир. Ты всё ещё веришь антивирусным компаниям, которые заявляют "мы никогда не занялись бы этим"? Я - нет. И до тех пор, пока им действительно это очень выгодно - я буду оставаться при своём мнении. ИМХО, конечно же.
0 |
Coddie
13-05-2009 16:13:11
Вирусы уже давно пишутся не студентами, а профессиональными программистами. Потому что сейчас вирмейкинг - не забава, а способ извлечения прибыли. Это целая индустрия черного бизнеса. Что касается антивирусных компаний, то им действительно нет никакого резона писать вирусы самим. Поток киберзла настолько насыщен, что едва успевай только обрабатывать всяческих червей троянов и вирусов, поступающих от пользователей инфицированных машин. Кто тут думает что антивирусные компании пишут вирусы сами, наверное просто по себе судит. Сами посудите. Предположим антивирусная компания "рога и копыта" написала вирус. Представляете что будет с репутацией этой компании если об этом случайно станет известно? Кто пойдет на такой риск? Никто.
0 |
27806
13-05-2009 17:11:17
Кто пойдет на такой риск? НиктоНет такого преступления на которое не пошел бы капитал ради 100% прибыли. (с) КМ Читайте классиков марксизма.
0 |
zzz
14-05-2009 16:01:49
а кто докажет, кем был написан вирус? Я что-то не вижу, чтоб у нас каждый день кого-то сажали за создание вирусов. Это только мега пафосные супер вирусописатели намеренно оставляют свой ник в коде вируса. А так - написал дома вирус, на флэху и вперёд в интернет кафе. В коде вируса отпечатков пальцев не оставишь.
0 |
zurkg
13-05-2009 20:34:55
Уважаемый, если бы я не имел опыта работы в антивирусной компании, ничего бы не заявлял.
0 |
Bad-XxX
18-05-2009 13:52:22
Ну да, ты наверное ждал когда под бурные авации на коллективном собрании объявят "Мы написали вирус для пиара!". Подобный заказ предполагает анонимность с обеих сторон, т.к. это - статья, никто кроме заказчика и исполнителя об этом заказе не будет знать.
0 |
SLESH
14-05-2009 09:42:18
А тут тут такого? 1)Если он слал данныев инет то на первом шлюзе можно было увидеть его активность 2)Если он грузился через дыры, то какаянить проактива да смоглабы засеч инстал в систему и отправить отчет томуже ноду. А там они как стервятники налетели и начали копаться в нем. p.S лечение мегокртого руткита, тоже мего крутое - грузишься в консоль восстановления с установочной болванки и там делаешь fix boot и fix mbr )
0 |
Здесь вам не тут
12-05-2009 12:25:25
Sinowal? Это тот, что большинство антивирусов называют Rustock? Тот, чей прошлый вариант в своё время полгода расшифровывался лабораторией Dr.Web, а Кашпировскими так и не был расшифрован? И почему я не удивлён этому совпадению?..
0 |
29848
12-05-2009 16:13:03
Обратите внимание на даты. Это все про распознование и лечение этого "сеновала". http://vil.nai.com/vil/content/v_154739.htm http://news.drweb.com/show/?i=322&c=5&p=0
0 |
13
12-05-2009 18:39:17
Обратите внимание на даты. Это все про распознование и лечение этого "сеновала". http://vil.nai.com/vil/content/v_154739.htm http://news.drweb.com/show/?i=322&c=5&p=0Повторюсь здесь речь идёт о новой модификации. Ссылка на макафе вообще мимо (у них детект первой версии 04/17/2009, когда у касперского первая версия буткита была добавлена аж 19.12.2007 http://www.viruslist.com/ru/viruses/encyclopedia?virusid=270648)
0 |
30353
12-05-2009 20:49:17
\\Ссылка на макафе вообще мимо Это буковка "А" так смутила? Почитать тама недосуг? :lol:
0 |
13
12-05-2009 23:29:52
Почитал я там, особенно про то как они предлагают лечить с помощью диска с виндой и утилитой fixmbr, но видимо макака без этого сама вылечить никак не может, если у меня не энтерпрайз стоит.
0 |
Колхоз
12-05-2009 12:45:28
Sinowal - сеновал, чтоли? Дык у меня им сарай в деревне заражён. и на нём здорово с девкой валяться. ну или с ноутом, кому как больше нравится.
0 |
Председатель колхоза
12-05-2009 13:03:48
а ну марш свиней пасти ! ========================
0 |
27668
12-05-2009 17:43:28
неее всех свеней в связи с гриппом зарезали.
0 |
87887
12-05-2009 18:23:43
А колхоз та небось называеццо "Пипец коммунызьму", да? )
0 |
Интересующийся
12-05-2009 13:02:37
Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла , загруженного без ведома пользователя.Если кто в теме, объясните, пожалуйста, осуществляется ли при этом повышение привилегий в системе или уязвимость в Акробате позволяет только загрузить некий вредоносный код? Если повышения привилегий не происходит, то вредоносный код выполняется в контексте запустившего его пользователя. Следовательно при работе под ограниченной учетной записью этот Сеновал идет лесом, так?
0 |
Знающий
12-05-2009 13:16:22
Чувак, да не парься ты с этим адобом ридером. Качай отсюда опенсорсный пдфРидер да и все http://blog.kowalczyk.info/software/sumatrapdf/index.html Он и работает быстрее и исходники есть. Плюс на русском языке.
0 |
24827
12-05-2009 15:02:38
Чувак, да не парься ты с этим адобом ридером.Так я-то и не парюсь Меня интересует техническая сторона заражения этим руткитом. Так ли он страшен или это просто очередной пиар Касперского, рассчитанный на неквалифицированных пользователей?
0 |
Nevim
12-05-2009 18:28:48
Интересно, а кто же Вам ответит то? )))
0 |
евгений
12-05-2009 21:39:27
это очень-очень страшный вирь! Все пробивает и все заражает, ничего не поможет, только ЛК.
0 |
John W. Thompson
13-05-2009 00:07:57
It's very-very terrible backdoor. Best brains of our company Symantec cant cure it. All workstations are vulnerable and only Eugene can save PCs of all over the world!
0 |
02648
13-05-2009 09:54:00
Ну Вам-то, дядя Женя, как автору, лучше знать!
0 |
70168
12-05-2009 13:02:59
На фото типичный пользователь вантуза со своим зараженным дырявым любимцем. Запечатлен момент обнаружения конфицкера.
0 |
Страницы: 1  2  3  4