«Лаборатория Касперского» сообщает об уникальном MBR-рутките

«Лаборатория Касперского» сообщает о детектировании и лечении нового варианта уникального MBR-руткита.

Новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жесткого диска, был обнаружен экспертами компании в конце марта 2009 года.

Новый вариант стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств — самом «глубоком» уровне работы операционной системы. Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.

По данным экспертов «Лаборатории Касперского», буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.

Обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет.

Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера.

Кроме этого, эксперты «Лаборатории Касперского» рекомендуют всем пользователям установить необходимые патчи , закрывающие уязвимости в Acrobat Reader и используемых браузерах.

Источник: kaspersky.ru​

 

По масштабам думаю он не достигнет уровня конфигера, хотя всё возможно)

 

а можно проста непользоваться окнами

 

тут не окна) тут МБР, это хошь нехошь любой ноут. с любой ос. хотя, кроме эппл нарна

 

А проникать в МБР будет через святый дух... )))

 

хана мну...

 

В MBR будет только загрузчик - ибо места маловато для полноценного руткита. Хотя... остальное, в принципе, может быть на той же 0-й дорожке - 32 килобайт вполне хватит.
А вот как туда попадать - это вопрос. Права нужны соответствующие. В эпоху DOS рассчитывали, что клиент может оставить дискету в дисководе, а затем "загрузиться с нее" - т.е. даже если там и не было ОС, то BR то отрабатывал всегда. А вот сейчас... если только с флешки.
Хотя для любителей стеклянного искусства путей проникновения предостаточно и с живой системы. А вот для никсов нужен рут - хоть как.

 

Уже обновил ...

 

Вот бы этот MBR-руткит потестить...

 

самое веселое, что первые версии вышли еще в 2007 году, чего там Касперычи два года ждали - не понятно

 

месячные были

 

Как раз хрен его знает. Может, уже давно достиг.