Лаборатория PandaLabs компании Panda Security обнаружила несколько троянов с включенными в них руткитами (MBRtool.A, MBRtool.B, MBRtool.C и др.), предназначенными для замещения основной загрузочной записи (MBR) жесткого диска своими собственными вариантами записей.
Это настоящая революция в использовании руткитов, уверены специалисты компании Panda Security, поскольку такое их использование значительно затрудняет обнаружение ассоциированного вредоносного кода. Единственная реальная защита - это выявление руткитов до их проникновения в компьютер.
Когда один из руткитов запускается, он создает копию существующей MBR, изменяя оригинал по инструкциям злоумышленников. Это означает, что при попытке доступа к MBR руткит перенаправит запрос к подлинной записи, чтобы пользователь или приложение ничего не заподозрили.
В результате внесенных изменений, когда пользователь запускает компьютер, регулирующая MBR загрузится перед операционной системой. В этот момент запустится весь код, скрывая ассоциированный вредоносный код. Пользователи не заметят никаких аномалий в системных процессах, поскольку загруженный в память руткит будет отслеживать доступ к диску и скрывать ассоциированные с ним вирусы от системы.
Для того чтобы удалить вредоносный код, зараженному пользователю необходимо перезагрузить компьютер при помощи загрузочного CD и восстановить MBR при помощи улититы наподобие fixmbr в консоли Windows recovery (если используется именно эта операционная система). Новые руткиты способны работать с другими платформами - например, с Linux, - поскольку их действия не зависят от установленной на компьютере операционной системы, отмечает Луис Корронс, технический директор PandaLabs.
Вероятно, господин Корронс имеет в виду возможные в будущем модификации руткитов, использующих MBR, так как сейчас, по данным компании Symantec, вредоносные программы этого типа работают только под Windows XP/2000. В Windows Vista возможность запуска таких вирусов исправили еще на стадии Release Candidat 2.
Как сообщает CNet, по данным VeriSign iDefense Labs, к 7 января 2008 года новыми троянами было заражено около 5000 компьютеров. Первая эпидемия случилась 17 декабря прошлого года (1800 зараженных ПК), вторая – 19-22 декабря (3000 пострадавших компьютеров).
Как справедливо заметили аналитики PandaLabs, трояны эти сложно обнаружить и удалить, но вполне можно предотвратить из попадание на компьютер. По данным CNet, вирусы загружаются на компьютер через сайты с вредоносным iframe, причем для установки на компьютер в ОС должны быть не закрыты следующие уязвимости: