MBR-руткит мутирует

Безопасность Стратегия безопасности Пользователю Администратору
мобильная версия
, Текст: Светлана Симонова

В начале 2008 г. автор анти-руткит-инструмента GMER обнаружил новый вирус, который устанавливает себя в master boot record (MBR) на жестком диске и использует руткит-технологии, чтобы скрыть себя и манипулировать ядром Windows при загрузке системы. Хотя антивирусные компании нашли пути решения проблемы, новые варианты MBR-руткита скрываются с помощью еще более удачно разработанной техники.

Самые ранние варианты буткита оперировали системой дисководов, такими файлами, как disk.sys, с целью скрыть свое присутствие в MBR. Антивирусные продавцы и GMER смогли обойти эти «крючки». Новые варианты MBR-руткита манипулируют значениями в драйвере Classpnp.sys, что делает обнаружение еще более сложным. В новом варианте вируса также осуществляется процесс сканирования, который переустанавливает руткит, если он будет удален, сообщает Heise-Security.

Продавцы антивирусов Trend Micro и McAfee уже изменили свои механизмы сканирования, с тем чтобы обнаруживать и уничтожать новые варианты MBR-руткита. Если есть подозрение в атаке буткита, лучше загрузить антивирусный сканер со свежими базами с диска.