Mbr-руткит мутирует
В начале 2008 г. автор анти-руткит инструмента GMER обнаружил новый вирус, который устанавливает себя в master boot record (MBR) на жестком диске и использует руткит-технологии, чтобы скрыть себя и манипулировать ядром Windows при загрузке системы. Хотя антивирусные компании нашли пути решения проблемы, новые варианты в MBR-руткита скрываются с помощью еще более удачно разработанной техники.
Самые ранние варианты буткита оперировали системой дисководов, такими файлами, как disk.sys, с целью скрыть свое присутствие в MBR. Антивирусные продавцы и GMER смогли обойти эти "крючки". Новые варианты MBR-руткита манипулируют значениями в драйвере Classpnp.sys, что делает обнаружение еще более сложным. В новом варианте вируса также осуществляется процесс сканирования, который переустанавливает руткит, если он будет удален, сообщает Heise-Security.
Продавцы антивирусов Trend Micro и McAfee уже изменили свои механизмы сканирования, с тем чтобы обнаруживать и уничтожать новые варианты MBR-руткита. Если есть подозрение в атаке буткита, лучше загрузить антивирусный сканер со свежими базами с диска.
Самые ранние варианты буткита оперировали системой дисководов, такими файлами, как disk.sys, с целью скрыть свое присутствие в MBR. Антивирусные продавцы и GMER смогли обойти эти "крючки". Новые варианты MBR-руткита манипулируют значениями в драйвере Classpnp.sys, что делает обнаружение еще более сложным. В новом варианте вируса также осуществляется процесс сканирования, который переустанавливает руткит, если он будет удален, сообщает Heise-Security.
Продавцы антивирусов Trend Micro и McAfee уже изменили свои механизмы сканирования, с тем чтобы обнаруживать и уничтожать новые варианты MBR-руткита. Если есть подозрение в атаке буткита, лучше загрузить антивирусный сканер со свежими базами с диска.
Ещё новости по теме:
18:20