Руткит Mebroot усилил защиту от антивирусов

Руткит Mebroot усилил защиту от антивирусов

По данным специалистов компании Prevx, руткит Mebroot продолжает активно распространяться по Сети и обрел еще один механизм самозащиты.

По данным специалистов компании Prevx, руткит Mebroot продолжает активно распространяться по Сети и обрел еще один механизм самозащиты.

Mebroot (Backdoor.Win32.Sinowal), заражает компьютеры пользователей через взломанные веб-сайты. Загружаемый им троянский компонент (Torpig, он же Sinowal и Anserin) ориентирован на кражу конфиденциальной информации и, используя руткит как платформу, реализует широкий спектр шпионских функций.

Авторы Mebroot постоянно совершенствуют свой руткит. Недавно они усилили его защиту от тех антивирусов и специализированных утилит, которые его обнаруживают и пытаются вылечить систему. Чтобы обеспечить эффективное удаление данной вредоносной программы, некоторые антивирусные компании реализовали в своих продуктах мгновенную перезагрузку компьютера сразу после излечения зараженного MBR, причем реализовали это через вызов специальной функции ядра — BugCheck.

Специалисты Prevx обнаружили, что новый вариант Mebroot в качестве меры противодействия теперь использует процедуру уведомления о вызове — специальную функцию обратного вызова callback — и в момент вызова перезагрузки имеет возможность проверить MBR. Если MBR вылечен, новый Mebroot восстанавливает зараженный MBR до перезагрузки системы.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!