Кампанія "Лабараторыя Касперскага" паведамляе аб дэтэктаванні і лячэнні новага варыянту ўнікальнага MBR-руткита.
Новы варыянт шкоднаснай праграмы Sinowal, якая валодае функцыяналам утойвання сваёй прысутнасці ў сістэме пры дапамозе заражэння галоўнага загрузнага запісу (MBR, Master Boot Record) цвёрдай кружэлкі, быў выяўлены экспертамі кампаніі ў канцы сакавіка 2009 гады. Па заявах даследнікаў, новы варыянт руткита стаў для іх сучаснасцю неспадзеўкай. У адрозненне ад мінулых версій, новая мадыфікацыя Backdoor.Win32.Sinowal для прадухілення свайго выяўлення выкарыстае значна глыбейшы ўзровень укаранення ў сістэму. Метад утойвання, рэалізаваны ў дадзеным варыянце, выкарыстае перахопы на ўзроўні аб'ектаў прылад — самім «глыбокім» узроўні працы аперацыйнай сістэмы. Ніколі раней зламыснікі не звярталіся да такіх прасунутых тэхналогій. З-за гэтага ні адзін з існавалых антывірусных прадуктаў на момант з'яўлення новай мадыфікацыі Sinowal не быў у стане не толькі вылечыць здзіўленыя Backdoor.Win32.Sinowal кампутары, але і нават выявіць праблему. Пасля пранікнення ў сістэму буткит забяспечвае ўтоенае функцыянаванне галоўнага модуля, арыентаванага на крадзеж персанальных дадзеных карыстачоў і іх розных акаўнтаў. Па дадзеных "Лабараторыі Касперскага", буткит актыўна распаўсюджваецца на працягу апошняга месяца з шэрагу шкоднасных сайтаў, выкарыстоўвалых набор уразлівасцяў Neosploit. Адным з асноўных спосабаў пранікнення ў сістэму з'яўляецца выкарыстанне ўразлівасці ў Adobe Acrobat Reader, выклікалай выкананне шкоднаснага PDF-файла, загружанага без вядзёнай карыстача. Выяўленне і лячэнне дадзенага буткита, які дагэтуль распаўсюджваецца ў Інтэрнэце, з'яўляецца найболей складанай задачай з усіх, з якімі прыходзілася сутыкацца адмыслоўцам антывіруснай індустрыі на працягу некалькіх гадоў. "Лабараторыя Касперскага" адной з першых сярод кіроўных антывірусных кампаній рэалізавала ў сваіх існых персанальных антывірусных рашэннях не толькі дэтэктаванне, але і паспяховае лячэнне дадзенага варыянту Sinowal. Для таго каб праверыць кампутар на наяўнасць заражэння, карыстачам персанальных прадуктаў неабходна абнавіць антывірусныя базы і правесці поўную праверку сістэмы. У выпадку выяўлення буткита падчас лячэнняў запатрабуецца перазагрузка кампутара. Таксама эксперты "Лабараторыі Касперскага" рэкамендуюць усім карыстачам усталяваць неабходныя патчы, якія зачыняюць уразлівасці ў Acrobat Reader і выкарыстоўваных браўзэрах.
рэкамендуем прачытаць таксама
- Кіберзлачынцы выкралі дадзеныя аб 270 тысячах банкаўскіх рахункаў з дапамогай траяна Sinowal
- Уразлівасць нулявога дня ў Adobe Flash Player / Reader / Acrobat
- Adobe выпусціла экстранае абнаўленне для Reader і Acrobat
- У Adobe Reader і Acrobat выяўленая крытычная «дзюра»
- F-Secure рэкамендуе адмовіцца ад выкарыстання Acrobat Reader