SKY-net

Посещение любого из тысяч взломанных Web-сайтов в настоящее время грозит заражением системы новой версией руткита Mebroot, которую обнаруживают пока далеко не все антивирусные программы.

Первые версии Mebroot появились в декабре 2007 года. Как и другие руткиты, Mebroot применяет ряд методов для того, дабы избежать обнаружения. Он заражает основную загрузочную запись (MBR) на диске — первое, что запускается на компьютере после BIOS. Если MBR попадает под контроль хакера, за ней последует и вся система со всеми данными. Антивирусные программы способны обнаружить первые версии Mebroot, но ныне его методы маскировки намного улучшились.

Заражение происходит при посещении взломанного сайта. В браузере открывается невидимый iframe, в котором запускается проверка на наличие уязвимости. Если она найдена, загружается Mebroot, и пользователь ничего не замечает. В системе руткит перехватывает вызовы многих функций ядра, показывая при сканировании незараженную копию MBR. Сетевой трафик тоже скрывается.

Кто и с какой целью написал Mebroot, неизвестно.

www.osp.ru

Опубликовано 20.04.2009 12:40 и размещено в рубрике IT новости. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Новый троян использует старые приемы маскировки
• Троян Zeuss отсылает похищеннные данные через Jabber
• Sophos: ежедневно появляется 30 тыс. вредоносных сайтов
• Все тонкости разгона Intel Core i7 сквозь BIOS материнской платы
• BIOS должен быть безопаснее