Windows User Group - Slovak Republic
Windows User Group - Slovak Republic Windows User Group - Slovak Republic
RSS
Windows User Group - Slovak Republic
prihlásenie
meno login
heslo
Automaticky prihlásiť
zabudli ste heslo?
zaregistrujte sa

kalendár podujatí
marec 2024 apríl 2024 máj 2024
po ut st št pi so ne
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 1 2 3 4 5
dnes 20.04.2024 dnes 20.04.2024

kto je online?
počet anonymných užívateľov: 17
počet prihlásených užívateľov: 0

Top 10 najčítanejšie
1.Vytvorenie USB boot jed...
2.Oprava MBR sektoru bez ...
3.Windows 7 download
4.HTPC alebo ako si posta...
5.Windows 7 RC v slovenč...
6.Konzole pro zotavení v...
7.Panika menom Conficker
8.Platené vs Zadarmo
9.Inštalujte Windows z U...
10.Windows 7 RC download -...

Windows User Group - Slovak Republic

Nová varianta havěti napadající hlavní zaváděcí sektor
Windows User Group - Slovak Republic
Bezpečnosť > Malware

Nová varianta havěti napadající hlavní zaváděcí sektor

Windows User Group - Slovak Republic

Před několika dny jsem narazil na novou variantu malware známého pod jmény Mebroot a Sinoval. Tento rootkit je proslulý tím, že napadá hlavní zaváděcí sektor pevného disku počítače (Master Boot Record). Mebroot na disku nevytváří žádné spustitelné soubory a nenajdeme jej tudíž ani mezi spuštěnými procesy ve Správci úloh ani mezi ovladači v jádře operačního systému.


 

Přítomnost Mebrootu se projevuje několika způsoby. Havěť modifikuje paměť procesu explorer.exe, zřejmě za účelem monitorování či modifikace síťové komunikace. V jádře systému běží několik skrytých vláken, která vykonávají kód nepatřící žádnému ovladači. Třetí změnou je pozměněný hlavní zaváděcí sektor. Jeho modifikaci však lze odhalit pouze speciálními nástroji, mezi které patří například program mbr.exe, který uměl (až do nynějška) hlavní zaváděcí sektor i opravit.

 

U nové varianty autoři vylepšili skrývání modifikace hlavního zaváděcího sektoru. Dřívější kousky pozměnily obecný ovladač disku (disk.sys), takže kdykoliv se někdo pokusil číst obsah onoho sektoru, rootkit předstíral, že MBR modifikován není. Detekce změny obsahu MBR je převážně založena také na využití služeb obecného ovladače disku. Nová varianta Mebrootu však jde níže - pravděpodobně upravuje kód ovladačů, jež ovládají ATA a SATA zařízení (tedy například atapi.sys), které v hiearchii leží pod obecným ovladačem disku.

 

Rootkit tedy operuje na nižší úrovni než většina obranných utilit. Antirootkity modifikaci MBR nedetekují, takže například prográmek mbr.exe, který až doposud z odstraněním Mebrootu neměl problémy, je nyní neúčinný. Stejně tak GMER ani Rootkit Unhooker nevidí žádnou modifikaci veledůležitého sektoru. Oba antirootkity však vidí skrytě běžící vlákna a modifikace síťového rozhraní procesu explorer.exe.

 

Co z výše uvedených informací vyplývá? Nový Mebroot je stále detekovatelný. Standardní postupy na jeho odstranění z infikovaného systému však selhávají. Příkaz fixmbr dostupný z Konzole pro zotavení je samozřejmě stále funkční, tudíž odstranit tento malware, pokud jeho přítomnost zjistíme, nepředstavuje příliš velký problém.

Windows User Group - Slovak RepublicWindows User Group - Slovak Republic Martin Dráb | streda 08. apríla 2009 10:00 | Prečítané: 9284 x | hodnotenie: 5/5 |
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

 
Windows User Group - Slovak Republic
vyhľadávanie

partneri

2 % od Vás pre WUG
2 % od Vás pre WUG

sponzori






Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

Copyright © 2008 Windows User Group Slovensko

Windows User Group - Slovak Republic domov Windows User Group - Slovak Republic o nás Windows User Group - Slovak Republic podujatia Windows User Group - Slovak Republic odkazy Windows User Group - Slovak Republic informačné kanály Windows User Group - Slovak Republic
Windows User Group - Slovak Republic