Руткит Mebroot усилил защиту от антивирусов

По данным специалистов компании Prevx, руткит Mebroot продолжает активно распространяться по Сети и обрел еще один механизм самозащиты.

Mebroot (Backdoor.Win32.Sinowal), заражает компьютеры пользователей через взломанные веб-сайты. Загружаемый им троянский компонент (Torpig, он же Sinowal и Anserin) ориентирован на кражу конфиденциальной информации и, используя руткит как платформу, реализует широкий спектр шпионских функций.

Авторы Mebroot постоянно совершенствуют свой руткит. Недавно они усилили его защиту от тех антивирусов и специализированных утилит, которые его обнаруживают и пытаются вылечить систему. Чтобы обеспечить эффективное удаление данной вредоносной программы, некоторые антивирусные компании реализовали в своих продуктах мгновенную перезагрузку компьютера сразу после излечения зараженного MBR, причем реализовали это через вызов специальной функции ядра — BugCheck.

Специалисты Prevx обнаружили, что новый вариант Mebroot в качестве меры противодействия теперь использует процедуру уведомления о вызове — специальную функцию обратного вызова callback — и в момент вызова перезагрузки имеет возможность проверить MBR. Если MBR вылечен, новый Mebroot восстанавливает зараженный MBR до перезагрузки системы.