Хакеры додумались до ПО, изменяющего загрузочный сектор компьютера
Обнаруженное программное обеспечение относится к средствам удаленного администрирования (руткит) и предназначено для работы с Windows (особенно с XP).
"Это серьезная угроза и она показывает навыки ряда компьютерных преступников. Несмотря на то, что концепция несанкционированного модифицирования не нова, примененный подход ранее почти не использовался. Очевидно, что здесь поработали профессионалы, которые впоследствии на базе этого кода могут создать и дополнительные схемы похищения данных и получения контроля над пользовательским компьютером", – предупреждают эксперты Symantec.
Выявленный код – это принципиально новая разработка, которая не использует какие-либо ранее задействованные вредоносные коды, поэтому на сегодня далеко не все антивирусы способны обнаруживать новый руткит. Руткит модифицирует код главного загрузочного сектора (master boot record), где хранится информация об операционной системе или системах (если их несколько), которой следует передать управление компьютером после проверки BIOS.
"Традиционные руткиты инсталлируются в системе как драйверы, примерно также как и остальное программное обеспечение и файлы. Эти драйверы грузятся вместе с операционной системой на этапе включения компьютера, но новый руткит записывает себя еще до операционной системы и начинает выполнятся до старта ОС", – говорит Оливер Фредрих, руководитель антивирусного подразделения Symantec.
"Данный метод дает беспрецедентный контроль над компьютером, фактически код прячется там, где ни один руткит до него не прятался", – говорит он.
В Symantec рассказывают, что полученные на данный момент сведения свидетельствуют о том, что код работает только в Windows XP, пользователи Windows Vista пока находятся вне опасности, так как для своей работы руткит требует административных привилегий, а Vista при подобных обращениях выводит запрос на выполнение.
Другая опасность кода заключается в том, что из-за нахождения в главной загрузочной записи его крайне трудно обнаружить из операционной системы средствами антивируса. "Единственный верный способ удалить этот код – запуск консоли восстановления Windows c инсталляционного диска, также следует воспользоваться командой fixmbr в командной строке. В ряде BIOS есть функции для запрещения записи в загрузочный сектор, сейчас эта функциональность может оказаться полезной", – утверждает антивирусный аналитик Symantec Элия Флорио.
Источник: Cybersecurity.
10.01.2008 16:51 | mk.ru
0
Хакеры додумались до ПО, изменяющего загрузочный сектор компьютера
Автор
NeByvalyi
, 10 янв 2008 21:52
Сообщений в теме: 3
#1 OFFLINE
Отправлено 10 Январь 2008 - 21:52
#2 OFFLINE
Отправлено 12 Январь 2008 - 10:59
Новый руткит загружается быстрее ОС
Специалисты из компании Symantec объявили об обнаружении нового вида руткита – вредоносное ПО может изменить загрузочный сектор главного жесткого диска ПК. Новая вредоносная программа создана для системы Windows.
Эксперты отмечают, что новый вирус принципиально отличается от всех известных и не определяется антивирусными программами. Это совершенно новый руткит.
Программа изменяет данные главного загрузочного сектора (master boot record). Здесь хранится информация об операционной системе, которая запускается после тестирования BIOS.
Оливер Фридрих (Oliver Friedrich), руководитель антивирусного подразделения Symantec, отмечает особенность нового вируса: «Обычно руткиты устанавливаются как драйверы – так же как и другое ПО. Они загружаются вместе с ОС, но этот руткит производит загрузку раньше операционной системы. Этот новый метод атаки позволяет взять полный контроль над ПК жертвы».
По сообщениям SANS, новый вирус появился в декабре 2007 г. и им заражены несколько тысяч компьютеров. Также найдены несколько сайтов, посредством которых производится распространение нового вредоносного ПО.
Эксперты сообщают, что пока руткит угрожает только пользователям системы Windows XP. Те, кто установил на свой ПК Windows Vista, могут не беспокоиться, по крайней мере, в данный момент.
© CNews
Специалисты из компании Symantec объявили об обнаружении нового вида руткита – вредоносное ПО может изменить загрузочный сектор главного жесткого диска ПК. Новая вредоносная программа создана для системы Windows.
Эксперты отмечают, что новый вирус принципиально отличается от всех известных и не определяется антивирусными программами. Это совершенно новый руткит.
Программа изменяет данные главного загрузочного сектора (master boot record). Здесь хранится информация об операционной системе, которая запускается после тестирования BIOS.
Оливер Фридрих (Oliver Friedrich), руководитель антивирусного подразделения Symantec, отмечает особенность нового вируса: «Обычно руткиты устанавливаются как драйверы – так же как и другое ПО. Они загружаются вместе с ОС, но этот руткит производит загрузку раньше операционной системы. Этот новый метод атаки позволяет взять полный контроль над ПК жертвы».
По сообщениям SANS, новый вирус появился в декабре 2007 г. и им заражены несколько тысяч компьютеров. Также найдены несколько сайтов, посредством которых производится распространение нового вредоносного ПО.
Эксперты сообщают, что пока руткит угрожает только пользователям системы Windows XP. Те, кто установил на свой ПК Windows Vista, могут не беспокоиться, по крайней мере, в данный момент.
© CNews
#3 OFFLINE
Отправлено 12 Январь 2008 - 12:24
В сообщениях нет ни слова о способе проникновения, ни о чем другом.
Поскольку в BIOS функция защиты появилась да-а-а-а-вно, значит данная угроза использовалась и ранее.
Скорее всего это PR акция для продвижения Vista.
А сама угроза далеко не так страшна, как её "малюют".
Поскольку в BIOS функция защиты появилась да-а-а-а-вно, значит данная угроза использовалась и ранее.
Скорее всего это PR акция для продвижения Vista.
А сама угроза далеко не так страшна, как её "малюют".
#4 OFFLINE
Отправлено 12 Январь 2008 - 14:04
да уже непомню сколько лет вирусы заражали MBR. Об этом только сейчас вспомнили в связи с выходом висты
Ауре Интеруне! Вы забыли о нас, негодяи!(С)Сильвана
В статьях не написано самого главного: первое, что делает rootkit - получает права root'а(или админа в видовс), а уж с этими правами он уже может сделать что угодно, и где угодно. В том числе затереть MBR.
Ауре Интеруне! Вы забыли о нас, негодяи!(С)Сильвана
В статьях не написано самого главного: первое, что делает rootkit - получает права root'а(или админа в видовс), а уж с этими правами он уже может сделать что угодно, и где угодно. В том числе затереть MBR.
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных