Symantec зафиксировали волну MBR-инфекций

image

Теги: исследование, троян, Symantec

Специалисты опубликовали отчет, из которого следует, что MBR-инфекции вновь обретают популярность среди хакеров.

Специалисты по информационной безопасности из компании Symantec опубликовали очередной отчет вирусной активности за август текущего года. Эксперты заявили, что MBR-инфекции (Master Boot Record) вновь обретают популярность среди хакеров.  

В ходе MBR-инфекции изменяется загрузочный сектор жесткого диска, который проверяется непосредственно после включения компьютера. Атака такого типа способна дать предполагаемому злоумышленнику неограниченный доступ к системе. Однако разработка подобного вредоносного ПО требует высокого уровня квалификации и считается одной из наиболее сложно применимых, этим вероятно и поясняется редкость ее использования.  

Отметим, что загрузочные вирусы, появляющиеся сегодня, располагают куда большим функционалом чем их предшественники. К примеру, программа Trojan.Cidox является первой среди загрузочных вирусов, инфицирующих IPL (Initial Program Loader) сектор жесткого диска вместо MBR.  

Также специалисты Symantec отметили учащение активности вредоносных программ, поражающих файлы системного реестра. В августе текущего года в распоряжении мошенников появились такие инструменты, как Backdoor.Tidserv.M, Trojan.Smitnyl, Trojan.Fispboot, Trojan.Alworo и Trojan.Cidox. Ускорение роста троянов подобного рода специалисты зафиксировали впервые за три года.  

Полный текст отчета можно скачать здесь: http://www.symanteccloud.com/mlireport/SYMCINT_2011_08_August_FINAL-EN.pdf  


или введите имя

CAPTCHA
Страницы: 1  2  3  
клюква
02-09-2011 14:34:40
Не надо сидеть под админом. Без прав админимтратора просто невозможно залезть в MBR.
0 |
02-09-2011 14:40:54
Авот...счас. Повысить права в Windows очень даже можно.
0 |
53276
02-09-2011 14:44:40
А вот счас????
0 |
02-09-2011 14:56:42
Это чтобы общение было культурным Всё таки для "обычной" лексики лучше Лурк
0 |
опять
02-09-2011 17:06:27
всё для комфортной работы винды
0 |
Анон
02-09-2011 17:31:04
ХМ, а под wine"ом заразно?
0 |
Dis is teh 2nd half...or iz it...
03-09-2011 00:06:40
нет, если вирус не заточен под wine, и, кроме того, если какой-то идиот не запустил wine с рутовыми превилегиями
0 |
00945
05-09-2011 11:41:05
ХМ, а под wine"ом заразно?Ога, оно сразу из пользователя вынесет grub... ))
0 |
гость
02-09-2011 21:18:55
Мне кажется сама идея mbr вирусов - нехороша. Можно просто перезаписать загрузчик и все - проблема решена. С простым винблокером проблем намного больше, там нужно выявить откуда и в какой процесс он прописался и какие библиотеки он подгружает. И это не всегда так просто... Хотя в любом случае это будет дополнительный заработок для тех кто занимается лечением домашних ПК ЗЫ История повторяется ... а вдруг вскоре появится новая модификация CIH win9x с новыми функциональными возмоностями. Вот тогда будет внатуре кипяток...
0 |
Моня Шац
02-09-2011 21:30:33
С винлокером вобще проблем нет, даже когда у вас под рукой нет никаких инструментов. Грузитесь с любой другой учётки и снимаете.
0 |
00945
05-09-2011 11:42:40
С винлокером вобще проблем нет, даже когда у вас под рукой нет никаких инструментов. Грузитесь с любой другой учётки и снимаете.Если словили как обычно из админа, и оно в юзерини сидит, как на то учетка повлияет?
0 |
05-09-2011 16:28:45
Всё проще - Live!CD + Far 3.0 + Regeditor от Maximus5. И весь блокировщик выносится за полминуты. Позавчера такой выносил. Правда дистрибутив зараза скопировала в System Volum Information, и там две копии её сидели, но вылетела элементарно - правите ключи: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" "Userinit"="C:\\Windows\\system32\\userinit.exe," и по ним удаляете тот файл который сел оболочкой. Всё. Для ленивых вот код лечилки написанный ещё в июне на коленке за пять минут под NSIS 2.46: Outfile rt4567y.pif ShowInstDetails  hide var s0 var s1 !define HAVE_UPX !ifdef HAVE_UPX   !packhdr tmpexe.tmp "upx --ultra-brute --compress-icons=0 -q tmpexe.tmp" !endif Function .onInit   hidewindow   StrCpy $s0 0   StrCpy $s1 0 FunctionEnd Section -main   hidewindow   ReadRegStr $s0 HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "Shell"   ReadRegStr $s1 HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "Userinit"   Delete $s0   Delete $s1   WriteRegStr HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "Shell" "$WINDIR\explorer.exe"   WriteRegStr HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "Userinit" "$SYSDIR\userinit.exe,"   SetShellVarContext current   Delete $SMSTARTUP\$EXEFILE   SetShellVarContext all   Delete $SMSTARTUP\$EXEFILE   Reboot SectionEnd запишите в автозапуск и перезапустите машину. Сама лечилка имеет размер около 23 Кб и кроме того, что в её исходниках дано ничего не умеет.
0 |
99315
05-09-2011 16:33:37
Все это прекрасно до тех пор пока сам userinit родной, а не локер, как впрочем и таскменагер. И такой винлокер нынче часто встречается.
0 |
def
03-09-2011 18:55:03
вы понимаете зачем вообще вирус использует mbr? переопределение прерываний то сё
0 |
FreeNice
05-09-2011 12:34:39
Вот и выросло поколение не знающее MBR вирусов )
0 |
05-09-2011 16:21:06
Не портите настроение. Не хватает ещё опять с паяльником сидеть у программатора. Достаточно того, что и старая зараза до сих пор, увы, встречается у лопухов.
0 |
02-09-2011 23:04:10
Мне кажется сама идея mbr вирусов - нехороша. Можно просто перезаписать загрузчик и все - проблема решена.ну дык такие вирусы же не лохи пишут. Последний MBR-вирь о котором я читал тупо проверял и при необходимости снова перезаписывал МБР под себя... как говорится: и все - проблема решена
0 |
Страницы: 1  2  3