Трояны используют новую форму атаки на основе руткитов

PandaLabs обнаружила несколько троянов с включенными в них руткитами (MBRtool.A, MBRtool.B, MBRtool.C и др.), предназначенными для замещения основной загрузочной записи (MBR) - первого или нулевого сектора жесткого диска, одной из своих собственных записей. Это настоящая революция в использовании руткитов, поскольку такое их использование значительно затрудняет обнаружение ассоциированного вредоносного кода. Использование руткитов кибер-преступниками направлено на сокрытие действий вредоносных кодов, что затрудняет их обнаружение.

Ранее руткиты устанавливались в системных процессах, но последние варианты, обнаруженные PandaLabs, устанавливаются в той части жесткого диска, которая запускается еще до старта операционной системы. Когда один из руткитов запускается, он создает копию существующей MBR, изменяя оригинал по инструкциям злоумышленников. Это означает, что при попытке доступа к MBR, руткит перенаправит запрос к подлинной записи, чтобы пользователь или приложение ничего не заподозрили. В результате внесенных изменений, когда пользователь запускает компьютер, регулирующая MBR загрузится перед операционной системой. В этот момент запустится весь код, скрывая ассоциирированный вредоносный код.

Ранее руткиты использовались для того, чтобы скрывать расширения или процессы, а новые экземпляры могут напрямую обманывать системы. Их месторасположение означает, что пользователи не заметят никаких аномалий в системных процессах, поскольку загруженный в память руткит будет отслеживать доступ к диску и скрывать ассоциированное вредоносное ПО от системы. Для того чтобы удалить вредоносный код, зараженному пользователю необходимо перезагрузить компьютер при помощи загрузочного CD-диска, чтобы исключить использование MBR. Затем нужно будет восстановить MBR при помощи улититы наподобие fixmbr в консоли Windows recovery (если используется именно эта операционная система).

©1997-2024 Компьютерная газета