Буткиты: новый виток развития

* Технические средства для анализа буткитов
1. Отладка при помощи QEMU
2. Отладка при помощи Bochs
* Анализ новых буткитов
1. Backdoor.Win32.Trup.a (Alipop)
2. Mebratix.b (Ghost Shadow)
3. Black Internet Trojan
* Лечение заражения
* Список литературы

В этой статье речь пойдет о буткитах — вредоносных программах, получающих управление до начала загрузки операционной системы посредством инфицирования главной загрузочной записи жесткого диска (MBR).

Первый вредоносный буткит, известный под именами Sinowal и Mebroot, появился в 2007 году, и представлял собой на тот момент заметную инновацию. Затем последовало затишье: в течение трех лет технология заражения MBR практически не использовалась разработчиками вредоносного кода, несмотря на её привлекательность: антивирусы всегда плохо справлялись даже с хорошо изученным буткитом Sinowal, не говоря уже о технологии заражения MBR в целом.

И вот, относительно недавно свет увидели несколько новых вредоносных программ класса «буткит». Это знаковое событие, указывающее на то, что практика применения буткит-техник во вредоносных программах не закончится одиночными образцами, а, возможно, приобретёт более массовый характер.

Данная статья представляет собой, в первую очередь, обзор новых семейств буткитов. Особое внимание будет уделено принципам функционирования загрузочного кода, так как данный вопрос освещался только в докладе о концептуальной технологии eEye BootRoot от 2005 года.
далее [url]http://www.nobunkum.ru/issue003/mbr-infectors/[/url]

[QUOTE][B]Black Internet Trojan[/B]
В случае запуска под UAC установщик перезапускает свой процесс в цикле. Таким образом, пользователь будет получать предупреждения системы безопасности до тех пор, пока не подтвердит разрешение запуска процесса инсталлятора буткита с максимальными привилегиями
[/QUOTE] :biggrin2:
... пока сервер не согласился, что пароль - "Мао Дзедун"

печально :(

[B]SDA[/B], нам ли быть в печали?
А если серьезно, в чем проблема?

[QUOTE=antanta;689265][B]SDA[/B], нам ли быть в печали?
А если серьезно, в чем проблема?[/QUOTE]
Да у меня то проблемы нет :) Просто печально, что так хитро снимается защита UAC.

Офигенно крутой "брутфорс", когда пытаются задолбать пользователя запросами (как в анекдоте про китайскую атаку на сервер), пока ему не надоест? Если у кого-то не достанет познаний снять задачу или отправить комп в ребут, то я не знаю... В конце концов, антивирусы же для кого-то делают?
Как здесь выражаются, софтоделы "психиатрией не занимаются, не их профиль".
Или я вообще все не так понял?

[QUOTE=antanta;689315]Офигенно крутой "брутфорс", когда пытаются задолбать пользователя запросами (как в анекдоте про китайскую атаку на сервер), пока ему не надоест? Если у кого-то не достанет познаний снять задачу или отправить комп в ребут, то я не знаю... В конце концов, антивирусы же для кого-то делают?
Как здесь выражаются, софтоделы "психиатрией не занимаются, не их профиль".
Или я вообще все не так понял?[/QUOTE]
Ну примерно так :)