Subscribe feed

“Лабараторыя Касперскага” абясшкодзіла ўнікальны MBR-руткит

12 траўня 2009

Кампанія "Лабараторыя Касперскага" паведамляе аб дэтэктаванні і лячэнні новага варыянту ўнікальнага MBR-руткита.

Новы варыянт шкоднаснай праграмы Sinowal, якая валодае функцыяналам утойвання сваёй прысутнасці ў сістэме пры дапамозе заражэння галоўнага загрузнага запісу (MBR, Master Boot Record) цвёрдай кружэлкі, быў выяўлены экспертамі кампаніі ў канцы сакавіка 2009 гады.

Па заявах даследнікаў, новы варыянт руткита стаў для іх сучаснасцю неспадзеўкай. У адрозненне ад мінулых версій, новая мадыфікацыя Backdoor.Win32.Sinowal для прадухілення свайго выяўлення выкарыстае значна глыбейшы ўзровень укаранення ў сістэму. Метад утойвання, рэалізаваны ў дадзеным варыянце, выкарыстае перахопы на ўзроўні аб'ектаў прылад — самім «глыбокім» узроўні працы аперацыйнай сістэмы. Ніколі раней зламыснікі не звярталіся да такіх прасунутых тэхналогій. З-за гэтага ні адзін з існавалых антывірусных прадуктаў на момант з'яўлення новай мадыфікацыі Sinowal не быў у стане не толькі вылечыць здзіўленыя Backdoor.Win32.Sinowal кампутары, але і нават выявіць праблему. Пасля пранікнення ў сістэму буткит забяспечвае ўтоенае функцыянаванне галоўнага модуля, арыентаванага на крадзеж персанальных дадзеных карыстачоў і іх розных акаўнтаў.

Па дадзеных "Лабараторыі Касперскага", буткит актыўна распаўсюджваецца на працягу апошняга месяца з шэрагу шкоднасных сайтаў, выкарыстоўвалых набор уразлівасцяў Neosploit. Адным з асноўных спосабаў пранікнення ў сістэму з'яўляецца выкарыстанне ўразлівасці ў Adobe Acrobat Reader, выклікалай выкананне шкоднаснага PDF-файла, загружанага без вядзёнай карыстача.

Выяўленне і лячэнне дадзенага буткита, які дагэтуль распаўсюджваецца ў Інтэрнэце, з'яўляецца найболей складанай задачай з усіх, з якімі прыходзілася сутыкацца адмыслоўцам антывіруснай індустрыі на працягу некалькіх гадоў. "Лабараторыя Касперскага" адной з першых сярод кіроўных антывірусных кампаній рэалізавала ў сваіх існых персанальных антывірусных рашэннях не толькі дэтэктаванне, але і паспяховае лячэнне дадзенага варыянту Sinowal.

Для таго каб праверыць кампутар на наяўнасць заражэння, карыстачам персанальных прадуктаў неабходна абнавіць антывірусныя базы і правесці поўную праверку сістэмы. У выпадку выяўлення буткита падчас лячэнняў запатрабуецца перазагрузка кампутара.

Таксама эксперты "Лабараторыі Касперскага" рэкамендуюць усім карыстачам усталяваць неабходныя патчы, якія зачыняюць уразлівасці ў Acrobat Reader і выкарыстоўваных браўзэрах.


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100