-
Буткиты: новый виток развития
* Технические средства для анализа буткитов
1. Отладка при помощи QEMU
2. Отладка при помощи Bochs
* Анализ новых буткитов
1. Backdoor.Win32.Trup.a (Alipop)
2. Mebratix.b (Ghost Shadow)
3. Black Internet Trojan
* Лечение заражения
* Список литературы
В этой статье речь пойдет о буткитах — вредоносных программах, получающих управление до начала загрузки операционной системы посредством инфицирования главной загрузочной записи жесткого диска (MBR).
Первый вредоносный буткит, известный под именами Sinowal и Mebroot, появился в 2007 году, и представлял собой на тот момент заметную инновацию. Затем последовало затишье: в течение трех лет технология заражения MBR практически не использовалась разработчиками вредоносного кода, несмотря на её привлекательность: антивирусы всегда плохо справлялись даже с хорошо изученным буткитом Sinowal, не говоря уже о технологии заражения MBR в целом.
И вот, относительно недавно свет увидели несколько новых вредоносных программ класса «буткит». Это знаковое событие, указывающее на то, что практика применения буткит-техник во вредоносных программах не закончится одиночными образцами, а, возможно, приобретёт более массовый характер.
Данная статья представляет собой, в первую очередь, обзор новых семейств буткитов. Особое внимание будет уделено принципам функционирования загрузочного кода, так как данный вопрос освещался только в докладе о концептуальной технологии eEye BootRoot от 2005 года.
далее http://www.nobunkum.ru/issue003/mbr-infectors/
Последний раз редактировалось AndreyKa; 22.08.2010 в 19:08.
Причина: убрал посторонние строки
http://club-symantec.ru/forum.php
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Black Internet Trojan
В случае запуска под UAC установщик перезапускает свой процесс в цикле. Таким образом, пользователь будет получать предупреждения системы безопасности до тех пор, пока не подтвердит разрешение запуска процесса инсталлятора буткита с максимальными привилегиями
... пока сервер не согласился, что пароль - "Мао Дзедун"
-
-
печально
http://club-symantec.ru/forum.php
-
-
SDA, нам ли быть в печали?
А если серьезно, в чем проблема?
-
-
Сообщение от
antanta
SDA, нам ли быть в печали?
А если серьезно, в чем проблема?
Да у меня то проблемы нет Просто печально, что так хитро снимается защита UAC.
http://club-symantec.ru/forum.php
-
-
Офигенно крутой "брутфорс", когда пытаются задолбать пользователя запросами (как в анекдоте про китайскую атаку на сервер), пока ему не надоест? Если у кого-то не достанет познаний снять задачу или отправить комп в ребут, то я не знаю... В конце концов, антивирусы же для кого-то делают?
Как здесь выражаются, софтоделы "психиатрией не занимаются, не их профиль".
Или я вообще все не так понял?
-
-
Сообщение от
antanta
Офигенно крутой "брутфорс", когда пытаются задолбать пользователя запросами (как в анекдоте про китайскую атаку на сервер), пока ему не надоест? Если у кого-то не достанет познаний снять задачу или отправить комп в ребут, то я не знаю... В конце концов, антивирусы же для кого-то делают?
Как здесь выражаются, софтоделы "психиатрией не занимаются, не их профиль".
Или я вообще все не так понял?
Ну примерно так
http://club-symantec.ru/forum.php
-