Буткит / Bootkit

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Буткит (Bootkit) (от англ. boot — загрузка и kit — набор инструментов) — это вредоносная программа (так называемая MBR-руткит), которая осуществляет модификацию загрузочного сектора MBR (Master Boot Record) — первого физического сектора на жёстком диске. (Известный представитель − Backdoor.Win32.Sinowal).

Назначение

Используется для получения максимальных привилегий в операционных системах. Буткит может получить права администратора (суперпользователя) и выполнять любые вредоносные действия. Например, он может загрузить в память некоторую динамическую библиотеку DLL, которая вообще не существует на диске. Такую библиотеку очень трудно обнаружить обычными методами, используемыми антивирусами.

Способ распространения

  1. Через взломанные сайты, порноресурсы и сайты, с которых можно загрузить пиратское ПО. При посещении пользователем зараженной страницы, у него на компьютере начинает выполняться специальный скрипт, который на основании текущей даты, установленной на компьютере, генерирует имя сайта, на который необходимо перенаправить пользователя для получения «персонального» эксплойта.
  2. Руткит-технологии.

Заражение

При запуске инсталлятор записывает зашифрованное тело буткита в последние сектора жесткого диска, находящиеся за пределами используемого операционной системой дискового пространства. Для обеспечения автозагрузки буткит заражает MBR компьютера, записывая в него свой начальный загрузчик, который до старта операционной системы считывает с диска и разворачивает в памяти основное тело руткита, после чего отдает управление ОС и контролирует процесс её загрузки. Буткит можно рассматривать как гибрид между вирусом и типом загрузочного сектора.

Обнаружение и ликвидация

Семейство данных вредоносных программ ведет себя достаточно скрытно, на зараженной системе его нельзя обнаружить штатными средствами, так как при обращении к зараженным объектам он «подставляет» оригинальные копии. Кроме того, основное тело вредоносной программы (драйвер уровня ядра) не присутствует на файловой системе, а расположено в неиспользованной части диска за границей последнего раздела. Вредоносная программа загружает драйвер самостоятельно, без помощи операционной системы. Сама же операционная система не подозревает о наличии драйвера. Обнаружение и лечение данного буткита является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет.

Как бороться с буткитами?

Вылечить зараженную систему можно с помощью утилиты TDSSKiller, разработанную специалистами Лаборатории Касперского

Список вредоносных программ с которыми борется утилита TDSSKiller

  • Backdoor.Win32.Phanta.a,b
  • Backdoor.Win32.Sinowal.knf,kmy
  • Backdoor.Win32.Trup.a,b
  • Rootkit.Boot.Aeon.a
  • Rootkit.Boot.Backboot.a
  • Rootkit.Boot.Batan.a
  • Rootkit.Boot.Bootkor.a
  • Rootkit.Boot.Cidox.a,b
  • Rootkit.Boot.Clones.a
  • Rootkit.Boot.CPD.a,b
  • Rootkit.Boot.Fisp.a
  • Rootkit.Boot.Geth.a
  • Rootkit.Boot.Goodkit.a
  • Rootkit.Boot.Harbinger.a
  • Rootkit.Boot.Krogan.a
  • Rootkit.Boot.Lapka.a
  • Rootkit.Boot.MyBios.b
  • Rootkit.Boot.Nimnul.a
  • Rootkit.Boot.Pihar.a,b,c
  • Rootkit.Boot.Plite.a
  • Rootkit.Boot.Prothean.a
  • Rootkit.Boot.Qvod.a
  • Rootkit.Boot.Smitnyl.a
  • Rootkit.Boot.SST.a,b
  • Rootkit.Boot.SST.b
  • Rootkit.Boot.Wistler.a
  • Rootkit.Boot.Xpaj.a
  • Rootkit.Boot.Yurn.a
  • Rootkit.Win32.PMax.gen
  • Rootkit.Win32.Stoned.d
  • Rootkit.Win32.TDSS
  • Rootkit.Win32.TDSS.mbr
  • Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k
  • Trojan-Clicker.Win32.Wistler.a,b,c
  • Trojan-Dropper.Boot.Niwa.a
  • Trojan-Ransom.Boot.Mbro.d,e
  • Trojan-Ransom.Boot.Mbro.f
  • Trojan-Ransom.Boot.Siob.a
  • Virus.Win32.Cmoser.a
  • Virus.Win32.Rloader.a
  • Virus.Win32.TDSS.a,b,c,d,e
  • Virus.Win32.Volus.a
  • Virus.Win32.ZAccess.k
  • Virus.Win32.Zhaba.a,b,c

Лечение зараженной системы

  • Скачайте файл TDSSKiller
  • Запустите файл TDSSKiller.exe на зараженной (или потенциально зараженной) машине;
  • Дождитесь окончания сканирования и лечения. После лечения может потребоваться перезагрузка.
  • Утилита имеет свой графический интерфейс.
  • Утилита поддерживает:

32-разрядные операционные системы: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2003 R2 Standard / Enterprise SP2, Microsoft Windows Server 2003 Standard / Enterprise SP2, Microsoft Windows Server 2008 Standard / Enterprise SP2.

64-разрядные операционные системы: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2008 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 R2 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2008 R2 Standard / Enterprise x64 Edition SP0 и выше.

  • Утилиту можно запускать в Обычном и в Безопасном режиме.

Утилита детектирует, как известные буткиты:

  • TDSS TDL4;
  • Sinowal (Mebroot, MaosBoot);
  • Phanta (Phantom, Mebratix);
  • Trup (Alipop);
  • Whistler;
  • Stoned,

так и неизвестные буткиты (с помощью эвристического анализатора).

 

You have no rights to post comments