Что такое буткит и является ли Немезида подлинной угрозой?

Рекламное объявление

Угроза заражения вирусом очень реальна. Вездесущность невидимых сил, работающих для атаки на наши компьютеры, для кражи наших личных данных и совершения набегов на наши банковские счета, является постоянной, но мы надеемся, что с нужное количество технического ноу 5 лучших дисков для восстановления и восстановления системы WindowsВот лучшие спасательные диски Windows, которые помогут вам получить доступ к вашему компьютеру для выполнения ремонта и резервного копирования, даже если он не загружается. Подробнее и немного удачи, все будет хорошо.

Тем не менее, несмотря на то, что антивирусы и другие программы обеспечения безопасности являются продвинутыми, потенциальные злоумышленники продолжают находить новые, дьявольские векторы, способные нарушить работу вашей системы. Буткит является одним из них. Несмотря на то, что они не совсем новы на сцене вредоносного ПО, наблюдается их общий рост и определенное расширение их возможностей.

Давайте посмотрим, что такое буткит, рассмотрим вариант буткита, Немезиды и

подумайте, что вы можете сделать, чтобы оставаться в стороне 10 шагов, которые нужно предпринять, когда вы обнаруживаете вредоносное ПО на вашем компьютереМы хотели бы думать, что Интернет - это безопасное место для нашего времени (кашель), но мы все знаем, что есть риски на каждом шагу. Электронная почта, социальные сети, вредоносные сайты, которые работали ... Подробнее .

Что такое буткит?

Чтобы понять, что такое буткит, сначала объясним, откуда взялась терминология. Буткит - это разновидность руткита, типа вредоносного ПО, способного скрывать себя от вашей операционной системы и антивирусного программного обеспечения. Руткиты, как известно, трудно обнаружить и удалить. Каждый раз, когда вы запускаете свою систему, руткит будет предоставлять злоумышленнику непрерывный доступ на уровне root.

Руткит может быть установлен по ряду причин. Иногда руткит будет использоваться для установки большего количества вредоносных программ, иногда он будет использоваться для создания компьютер-зомби внутри ботнета Как DoS-атака может уничтожить Twitter? [Технология объяснила] Подробнее , он может использоваться для кражи ключей и паролей шифрования или комбинации этих и других векторов атак.

Руткиты на уровне загрузчика (bootkit) заменяют или изменяют законный загрузчик с помощью дизайна одного из атакующих, влияя на основную загрузочную запись, объемную загрузочную запись или другие загрузочные сектора. Это означает, что заражение может быть загружено раньше операционной системы и, таким образом, может подорвать любые программы обнаружения и уничтожения.

Их использование находится на подъеме, и эксперты по безопасности отметили ряд атак, направленных на денежно-кредитные услуги, из которых «Немезида» является одной из самых последних наблюдаемых вредоносных экосистем.

Немезида безопасности?

Нет не Звездный путь фильм, но особенно противный вариант буткита. Вредоносная экосистема Nemesis обладает широким набором возможностей для атак, включая передачу файлов, захват экрана, регистрацию нажатий клавиш, внедрение процессов, манипулирование процессами и планирование задач. FireEye, компания по кибербезопасности, которая впервые заметила Nemesis, также указала, что вредоносное ПО включает в себя комплексную систему поддержка бэкдора для ряда сетевых протоколов и каналов связи, что позволяет более эффективно управлять установлены.

В системе Windows главная загрузочная запись (MBR) хранит информацию, касающуюся диска, такую ​​как количество и расположение разделов. MBR жизненно важен для процесса загрузки и содержит код, который определяет активный основной раздел. Как только это найдено, управление передается в загрузочную запись тома (VBR), которая находится в первом секторе отдельного раздела.

Буткит Nemesis захватывает этот процесс. Вредоносная программа создает пользовательскую виртуальную файловую систему для хранения компонентов Nemesis в нераспределенном пространстве между разделы, угоня оригинальный VBR путем перезаписи исходного кода своим собственным, в системе, дублированной «BOOTRASH.»

«Перед установкой установщик BOOTRASH собирает статистику о системе, включая версию и архитектуру операционной системы. Программа установки может развертывать 32-разрядные или 64-разрядные версии компонентов Nemesis в зависимости от архитектуры процессора системы. Установщик установит загрузочный комплект на любой жесткий диск с загрузочным разделом MBR, независимо от конкретного типа жесткого диска. Однако, если раздел использует архитектуру диска таблицы разделов GUID, в отличие от схемы разбиения MBR, вредоносная программа не будет продолжать процесс установки ».

Затем каждый раз, когда вызывается раздел, вредоносный код внедряет ожидающие компоненты Nemesis в Windows. Как результат«Место установки вредоносного ПО также означает, что оно сохранится даже после переустановки операционной системы. система, которая считается наиболее эффективным способом искоренения вредоносных программ », оставляя тяжелую борьбу за система.

Как ни странно, экосистема вредоносных программ Nemesis имеет свою функцию удаления. Это восстановит исходный загрузочный сектор и удалит вредоносное ПО из вашей системы, но только в том случае, если злоумышленникам потребуется удалить вредоносное ПО по собственному желанию.

UEFI Безопасная загрузка

Буткит Nemesis сильно повлиял на финансовые организации, чтобы собрать данные и отобрать средства. Их использование не удивляет старшего инженера по техническому маркетингу Intel, Брайан Ричардсон, кто заметки «MBR-буткиты и руткиты были вектором вирусной атаки со времен« Вставьте диск в A: и нажмите ENTER для продолжения ». Он пошел на объяснение, что, хотя Nemesis, несомненно, является чрезвычайно опасным вредоносным ПО, оно может не так легко повлиять на вашу домашнюю систему.

Системы Windows, созданные за последние несколько лет, вероятно, будут отформатированы с использованием таблицы разделов GUID с соответствующей прошивкой. на основе UEFI Что такое UEFI и как он защищает вас?Если вы недавно загрузили свой ПК, вы могли заметить аббревиатуру «UEFI» вместо BIOS. Но что такое UEFI? Подробнее . Вредоносная часть создания виртуальной файловой системы BOOTRASH основана на устаревшем прерывании диска, которого не существует. в системах, загружающихся с UEFI, в то время как проверка подписи UEFI Secure Boot блокирует загрузочный комплект во время загрузки процесс.

Таким образом, те более новые системы, предварительно установленные с Windows 8 или Windows 10, вполне могут быть избавлены от этой угрозы, по крайней мере, на данный момент. Тем не менее, это свидетельствует о серьезной проблеме, когда крупные компании не могут обновить свое ИТ-оборудование. Те компании, которые все еще используют Windows 7, и во многих местах Все еще используя Windows XPподвергают себя и своих клиентов основная финансовая и информационная угроза Почему компании, хранящие нарушения в секрете, могут быть хорошими вещамиС таким большим количеством информации в Интернете мы все беспокоимся о возможных нарушениях безопасности. Но эти нарушения могут храниться в секрете в США, чтобы защитить вас. Звучит безумно, так что же происходит? Подробнее .

Яд, Средство

Руткиты - хитрые операторы. Мастера запутывания, они предназначены для того, чтобы как можно дольше контролировать систему, собирая как можно больше информации за это время. Антивирусные и антивирусные компании приняли к сведению и ряд руткитов приложения удаления теперь доступны пользователям Полное руководство по удалению вредоносных программВ наши дни вредоносное ПО повсеместно, и его удаление из системы - длительный процесс, требующий руководства. Если вы считаете, что ваш компьютер заражен, вам нужно это руководство. Подробнее :

• Malwarebytes Anti-Rootkit Beta
• Лаборатория Касперского TDSSKiller
• Avast aswMBR
• Bitdefender Anti-Rootkit
• GMER - расширенное приложение, требующее удаления вручную

Даже с возможностью успешного удаления в продаже, многие эксперты по безопасности соглашаются, что единственный способ чтобы быть на 99% уверенным в том, что чистая система является полным форматом накопителя, убедитесь, что ваша система сохранена резервируется!

Вы испытали руткит или даже буткит? Как вы очистили свою систему? Дайте нам знать ниже!