Bootkit

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 9. juli 2014; checks kræver 17 redigeringer .

Bootkit (fra det engelske boot - download og kit - et sæt værktøjer) er et ondsindet program (det såkaldte MBR rootkit ), der modificerer boot-sektoren MBR ( Master Boot Record ) - den første fysiske sektor på harddisken. (En velkendt repræsentant er Backdoor.Win32.Sinowal ).

Udnævnelse

Bruges af malware til at opnå maksimale privilegier i operativsystemer. Bootkittet kan få administratorrettigheder (superbruger) og udføre eventuelle ondsindede handlinger. For eksempel kan den indlæse et særligt dynamisk bibliotek i hukommelsen , som slet ikke findes på disken . Et sådant bibliotek er meget vanskeligt at opdage med de sædvanlige metoder, der bruges af antivirus .

Distributionsmetode

Gennem hackede websteder, porno-ressourcer og websteder, hvorfra du kan downloade ulicenseret software. Når en bruger besøger en inficeret side, begynder et særligt ondsindet script at køre på computeren , som baseret på den aktuelle dato indstillet på computeren genererer navnet på det websted, som brugeren skal omdirigeres til for at modtage en "personlig " udnytte .
Rootkit-teknologier .

Contagion

Når det startes, skriver installationsprogrammet den krypterede bootkit-tekst til de sidste sektorer på harddisken, der er uden for den diskplads, der bruges af operativsystemet . For at sikre autoloading inficerer bootkittet computerens MBR, skriver dets bootloader ind i det, som før starten af operativsystemet læser fra disken og implementerer hoveddelen af rootkit i hukommelsen, hvorefter det giver kontrol til OS og styrer opstartsprocessen . Et bootkit kan ses som en hybrid mellem en virus og en type bootsektor.

Detektion og eliminering

Denne familie af ondsindede programmer opfører sig ganske hemmeligt; den kan ikke detekteres på et inficeret system med almindelige midler, da den "erstatter" originale kopier, når de tilgår inficerede objekter. Derudover er hoveddelen af malwaren ( kerne- niveau driver) ikke til stede på filsystemet , men er placeret i en ubrugt del af disken uden for den sidste partition. Malwaren indlæser driveren af sig selv uden hjælp fra operativsystemet. Operativsystemet selv har ikke mistanke om tilstedeværelsen af en driver. Detektion og behandling af dette bootkit er den sværeste opgave, som antivirusindustrien har stået over for i flere år. Måden at håndtere bootkits på er at starte systemet fra et hvilket som helst flytbart ikke-inficeret medie for at undgå den primære download af virussen efter at have tændt for computeren og derefter overskrive opstartssektoren med dens BOOTSECT.BAK sikkerhedskopi , som er altid placeret i rodmappen på systemvolumenet.

Links

Bootkit - Knowledge Base (utilgængeligt link)
Bootkit på AntiGad.ru
Bagdør.Win32.Sinoval
Kaspersky Lab: desinficering af et inficeret system fra et bootkit ved hjælp af TDSSKiller-værktøjet
Kaspersky Lab udgiver en analytisk artikel "Bootkit 2009" Threat News (15.05.2009)

Ondsindet software
Infektiøs malware	Computer virus netværksorm Trojan boot virus Batch virus Historie
Gemme metoder	Bagdør Dropper Bogmærke Kryptor zombie computer Polymorfi rootkit
Malware for profit	Adware Privatlivsinvasiv software Ransomware ( Trojan.Winlock ) Spyware Bot Botnet Webtrusler Keylogger Formgrabber Scareware ( Rogue antivirus ) Porno opkalder
Af operativsystemer	Linux malware Virus til Palm OS Makrovirus mobil virus
Beskyttelse	Defensiv databehandling Antivirus program Firewall System til registrering af indtrængen Forebyggelse af informationslækage Tidslinje for antivirus
Modforanstaltninger	Anti Spyware Coalition computer overvågning honningkrukke Betjening: Bot Roast