Home-theater-designers
Угроза заражения вирусом вполне реальна. Вездесущность невидимых сил, работающих над атаками на наши компьютеры, с целью кражи наших личных данных и рейдов на наши банковские счета, является постоянным, но мы надеемся, что с нужное количество технических знаний и немного удачи, все будет хорошо.
как установить учетную запись Google по умолчанию на Chrome
Тем не менее, несмотря на то, что антивирус и другое программное обеспечение безопасности являются продвинутыми, потенциальные злоумышленники продолжают находить новые дьявольские векторы, способные нарушить работу вашей системы. Буткит - один из них. Хотя это не совсем новость для вредоносных программ, наблюдается общий рост их использования и определенное усиление их возможностей.
Давайте разберемся, что такое буткит, рассмотрим вариант буткита, Nemesis и подумайте, что вы можете сделать, чтобы оставаться в стороне .
Что такое буткит?
Чтобы понять, что такое буткит, мы сначала объясним, откуда взялась терминология. Буткит - это разновидность руткита, типа вредоносного ПО, способного маскироваться от вашей операционной системы и антивирусного программного обеспечения. Известно, что руткиты сложно обнаружить и удалить. Каждый раз, когда вы запускаете свою систему, руткит предоставляет злоумышленнику непрерывный доступ корневого уровня к системе.
Руткит может быть установлен по любому количеству причин. Иногда руткит будет использоваться для установки большего количества вредоносных программ, иногда он будет использоваться для создания «зомби-компьютера» в ботнете, его можно использовать для кражи ключей шифрования и паролей или комбинации этих и других векторов атаки.
Руткиты уровня загрузчика (буткита) заменяют или модифицируют законный загрузчик с помощью конструкции одного из злоумышленников, влияя на основную загрузочную запись, загрузочную запись тома или другие загрузочные секторы. Это означает, что инфекция может быть загружена раньше операционной системы и, таким образом, может подорвать любые программы обнаружения и уничтожения.
Их использование растет, и эксперты по безопасности отметили ряд атак, направленных на денежные сервисы, из которых «Nemesis» является одной из недавно обнаруженных экосистем вредоносных программ.
Немезида безопасности?
Нет, не Звездный путь фильм, но особенно неприятный вариант буткита. Экосистема вредоносных программ Nemesis обладает широким спектром возможностей атак, включая передачу файлов, захват экрана, регистрацию нажатия клавиш, внедрение процесса, манипулирование процессами и планирование задач. FireEye, компания, занимающаяся кибербезопасностью, которая первой обнаружила Nemesis, также указала, что вредоносная программа включает в себя комплексную систему поддержки бэкдора для ряда сетевых протоколов и каналов связи, что позволяет более эффективно управлять ими после установки.
В системе Windows основная загрузочная запись (MBR) хранит информацию, относящуюся к диску, например количество и структуру разделов. MBR жизненно важна для процесса загрузки, она содержит код, определяющий местонахождение активного основного раздела. Как только это обнаружено, управление передается загрузочной записи тома (VBR), которая находится в первом секторе отдельного раздела.
Буткит Nemesis захватывает этот процесс. Вредоносная программа создает настраиваемую виртуальную файловую систему для хранения компонентов Nemesis в нераспределенном пространстве между разделами, захватывая исходный VBR, перезаписывая исходный код своим собственным в системе, получившей название «BOOTRASH».
'Перед установкой установщик BOOTRASH собирает статистику о системе, включая версию и архитектуру операционной системы. Программа установки может развертывать 32-битные или 64-битные версии компонентов Nemesis в зависимости от архитектуры процессора системы. Программа установки установит буткит на любой жесткий диск с загрузочным разделом MBR, независимо от типа жесткого диска. Однако, если раздел использует архитектуру диска с таблицей разделов GUID, а не схему разделения MBR, вредоносная программа не продолжит процесс установки ».
Затем при каждом вызове раздела вредоносный код внедряет ожидающие компоненты Nemesis в Windows. Как результат «Место установки вредоносного ПО также означает, что оно будет сохраняться даже после переустановки операционной системы, что широко считается наиболее эффективным способом уничтожения вредоносных программ», оставляя тяжелую борьбу за чистую систему.
Как ни странно, экосистема вредоносных программ Nemesis включает в себя собственную функцию удаления. Это позволит восстановить исходный загрузочный сектор и удалить вредоносное ПО из вашей системы, но только в том случае, если злоумышленникам потребуется удалить вредоносное ПО по собственному желанию.
Безопасная загрузка UEFI
Буткит Nemesis в значительной степени затронул финансовые организации, поскольку они собирают данные и перекачивают средства. Их использование не удивляет старшего технического специалиста по маркетингу Intel. Брайан Ричардсон , кто Примечания «Загрузочные и руткиты MBR были вектором вирусных атак со времен« Вставьте диск в A: и нажмите ENTER, чтобы продолжить ». Он продолжил объяснение, что, хотя Nemesis, несомненно, является чрезвычайно опасным вредоносным ПО, оно не может так быстро повлиять на вашу домашнюю систему.
невозможно копировать файлы на внешний жесткий диск Windows 10
Системы Windows, созданные в последние несколько лет, скорее всего, будут отформатированы с использованием таблицы разделов GUID с базовой прошивкой, основанной на UEFI. Часть вредоносного ПО для создания виртуальной файловой системы BOOTRASH полагается на устаревшее дисковое прерывание, которого не будет в системах, загружаемых с UEFI, в то время как проверка подписи безопасной загрузки UEFI заблокирует буткит во время процесса загрузки.
Таким образом, эти новые системы, предустановленные с Windows 8 или Windows 10, вполне могут быть избавлены от этой угрозы, по крайней мере, на данный момент. Однако это действительно иллюстрирует серьезную проблему, связанную с тем, что крупные компании не могут обновить свое ИТ-оборудование. Эти компании все еще используют Windows 7, и во многих местах еще с помощью Windows XP подвергают себя и своих клиентов серьезным финансовым угрозам и угрозам для данных.
Яд, лекарство
Руткиты - хитрые операторы. Мастера обфускации, они созданы для того, чтобы контролировать систему как можно дольше, собирая как можно больше информации за это время. Компании по производству антивирусов и вредоносных программ приняли к сведению и ряд руткитов. приложения для удаления теперь доступны пользователям :
- Бета-версия Malwarebytes Anti-Rootkit
- Лаборатория Касперского TDSSKiller
- Avast aswMBR
- Bitdefender Anti-Rootkit
- GMER - расширенное приложение, требующее ручного удаления
Даже имея шанс на успешное удаление, многие эксперты по безопасности соглашаются, что единственный способ быть уверенным на 99% в чистой системе - это полный формат диска, поэтому обязательно сохраняйте резервную копию своей системы!
Были ли у вас руткиты или даже буткиты? Как вы очистили свою систему? Сообщите нам об этом ниже!
Делиться Делиться Твитнуть Эл. адрес 3 способа проверить, является ли электронное письмо настоящим или поддельнымЕсли вы получили письмо, которое выглядит немного сомнительным, всегда лучше проверить его подлинность. Вот три способа узнать, настоящее ли электронное письмо.
Читать далее Похожие темы- Безопасность
- Раздел диска
- Взлом
- Компьютерная безопасность
- Вредоносное ПО
Гэвин - младший редактор отдела Windows and Technology Explained, постоянный участник Really Useful Podcast и регулярный обозреватель продуктов. У него есть степень бакалавра (с отличием) в области современного письма с использованием методов цифрового искусства, разграбленных на холмах Девона, а также более десяти лет профессионального писательского опыта. Он любит много пить чая, настольные игры и футбол.
Ещё от Gavin PhillipsПодписывайтесь на нашу новостную рассылку
Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!
Нажмите здесь, чтобы подписаться