Bootkit

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 9 juli 2014; kontroller kräver 17 redigeringar .

Bootkit (från engelska boot - download och kit - en uppsättning verktyg) är ett skadligt program (det så kallade MBR rootkit ) som modifierar bootsektorn MBR ( Master Boot Record ) - den första fysiska sektorn på hårddisken. (En välkänd representant är Backdoor.Win32.Sinowal ).

Utnämning

Används av skadlig programvara för att få maximala rättigheter i operativsystem. Bootkit kan få administratörsrättigheter (superanvändare) och utföra alla skadliga åtgärder. Till exempel kan den ladda in i minnet ett speciellt dynamiskt bibliotek som inte finns på disken alls . Ett sådant bibliotek är mycket svårt att upptäcka med de vanliga metoderna som används av antivirus .

Distributionsmetod

Genom hackade webbplatser, porrresurser och webbplatser från vilka du kan ladda ner olicensierad programvara. När en användare besöker en infekterad sida börjar ett speciellt skadligt skript köras på datorn , som baserat på det aktuella datumet som är inställt på datorn genererar namnet på webbplatsen som användaren måste omdirigeras till för att få en "personlig " utnyttja .
Rootkit-teknologier .

Smitta

När det startas skriver installationsprogrammet den krypterade bootkit-kroppen till de sista sektorerna på hårddisken som ligger utanför det diskutrymme som används av operativsystemet . För att säkerställa automatisk laddning infekterar bootkit datorns MBR och skriver in dess bootloader i den, som innan operativsystemet startar läser från disken och distribuerar huvuddelen av rootkit i minnet, varefter den ger kontroll till operativsystemet och styr uppstartsprocessen . Ett bootkit kan ses som en hybrid mellan ett virus och en typ av bootsektor.

Detektion och eliminering

Denna familj av skadliga program beter sig helt i hemlighet; den kan inte upptäckas på ett infekterat system med vanliga medel, eftersom det "ersätter" originalkopior när man kommer åt infekterade objekt. Dessutom finns inte huvuddelen av skadlig programvara ( kärnnivådrivrutin ) i filsystemet , utan finns i en oanvänd del av disken utanför den sista partitionen. Skadlig programvara laddar drivrutinen på egen hand, utan hjälp av operativsystemet. Operativsystemet i sig misstänker inte närvaron av en drivrutin. Upptäckt och behandling av detta bootkit är den svåraste uppgiften som antivirusindustrin har stått inför i flera år. Sättet att hantera bootkits är att starta upp systemet från vilket som helst flyttbart icke-infekterat medium för att undvika huvudnedladdningen av viruset efter att du har slagit på datorn och sedan skriva över startsektorn med dess BOOTSECT.BAK säkerhetskopia , vilket är finns alltid i systemvolymens rotkatalog.

Länkar

Bootkit - Knowledge Base (inte tillgänglig länk)
Bootkit på AntiGad.ru
Backdoor.Win32.Sinoval
Kaspersky Lab: desinficering av ett infekterat system från ett bootkit med hjälp av verktyget TDSSKiller
Kaspersky Lab publicerar en analytisk artikel "Bootkit 2009" Threat News (15.05.2009)

Skadliga program
Infektiös skadlig programvara	Datorvirus nätverksmask Trojan startvirus Batchvirus Berättelse
Dölja metoder	Bakdörr Dropper Bokmärke Cryptor zombie dator Polymorfism rootkit
Skadlig programvara för vinst	Reklamprogram Integritetskränkande programvara Ransomware ( Trojan.Winlock ) Spionprogram Bot botnät Webbhot Keylogger Formgrabber Scareware ( Rogue antivirus ) Porruppringare
Genom operativsystem	Linux skadlig kod Virus för Palm OS Makrovirus mobilvirus
Skydd	Defensiv datoranvändning Antivirusprogram Brandvägg Intrångsdetekteringssystem Förebyggande av informationsläckor Tidslinje för antivirus
Motåtgärder	Anti Spyware Coalition datorövervakning honungsburk Drift: Bot Roast