Руткит Mebroot усилил защиту от антивирусов

image

Теги: руткит, вредоносное ПО

По данным специалистов компании Prevx, руткит Mebroot продолжает активно распространяться по Сети и обрел еще один механизм самозащиты.

По данным специалистов компании Prevx, руткит Mebroot продолжает активно распространяться по Сети и обрел еще один механизм самозащиты.

Mebroot (Backdoor.Win32.Sinowal), заражает компьютеры пользователей через взломанные веб-сайты. Загружаемый им троянский компонент (Torpig, он же Sinowal и Anserin) ориентирован на кражу конфиденциальной информации и, используя руткит как платформу, реализует широкий спектр шпионских функций.

Авторы Mebroot постоянно совершенствуют свой руткит. Недавно они усилили его защиту от тех антивирусов и специализированных утилит, которые его обнаруживают и пытаются вылечить систему. Чтобы обеспечить эффективное удаление данной вредоносной программы, некоторые антивирусные компании реализовали в своих продуктах мгновенную перезагрузку компьютера сразу после излечения зараженного MBR, причем реализовали это через вызов специальной функции ядра — BugCheck.

Специалисты Prevx обнаружили, что новый вариант Mebroot в качестве меры противодействия теперь использует процедуру уведомления о вызове — специальную функцию обратного вызова callback — и в момент вызова перезагрузки имеет возможность проверить MBR. Если MBR вылечен, новый Mebroot восстанавливает зараженный MBR до перезагрузки системы.


или введите имя

CAPTCHA
Тро ло ло ло
18-03-2010 09:25:00
Чет неделя какаято у хомячков винду-зятничков невезучая
0 |
Nevim
18-03-2010 09:57:53
Гениальные лечилки от руткитов ... Они бы еще винду переустанавливали, автоматически.
0 |
68149
18-03-2010 10:12:12
Они бы еще винду переустанавливали, автоматически. Эта функция будет реализована в следующем поколении антивирусов.
0 |
18-03-2010 11:08:07
В VmWare - легко. По расписанию делаем snapshoot и в случае проблем откатываемся на предыдущее состояние.
0 |
Xoriant
19-03-2010 08:50:24
Понравилась идея: специальную функцию обратного вызова callback — и в момент вызова перезагрузки имеет возможность проверить MBR. Если MBR вылечен, новый Mebroot восстанавливает зараженный MBR до перезагрузки системы. Оригинально.
0 |
19-03-2010 11:27:46
а потому что не хрен на живую вирусняк лечить грузишься с ливки или хард в другую тачку втыкаешь - и лечись, сколько угодно
0 |
Tester
27-03-2010 17:39:46
Новая версия Mebroot убивает антивирусы при запуске. Переустановку Винды ещё никто не отменял конечно, но что делать с важной информацией, которая потрётся после переустановки (а если не уничтожить разметку винчестера, MBR останется заражён Mebroot'ом, и переустановка не поможет)?..
0 |