"Это серьезная угроза и она показывает навыки ряда компьютерных преступников. Несмотря на то, что концепция несанкционированного модифицирования не нова, примененный подход ранее почти не использовался. Очевидно, что здесь поработали профессионалы, которые впоследствии на базе этого кода могут создать и дополнительные схемы похищения данных и получения контроля над пользовательским компьютером", – предупреждают эксперты Symantec.
Выявленный код – это принципиально новая разработка, которая не использует какие-либо ранее задействованные вредоносные коды, поэтому на сегодня далеко не все антивирусы способны обнаруживать новый руткит. Руткит модифицирует код главного загрузочного сектора (master boot record), где хранится информация об операционной системе или системах (если их несколько), которой следует передать управление компьютером после проверки BIOS.
"Традиционные руткиты инсталлируются в системе как драйверы, примерно также как и остальное программное обеспечение и файлы. Эти драйверы грузятся вместе с операционной системой на этапе включения компьютера, но новый руткит записывает себя еще до операционной системы и начинает выполнятся до старта ОС", – говорит Оливер Фредрих, руководитель антивирусного подразделения Symantec.
"Данный метод дает беспрецедентный контроль над компьютером, фактически код прячется там, где ни один руткит до него не прятался", – говорит он.
В Symantec рассказывают, что полученные на данный момент сведения свидетельствуют о том, что код работает только в Windows XP, пользователи Windows Vista пока находятся вне опасности, так как для своей работы руткит требует административных привилегий, а Vista при подобных обращениях выводит запрос на выполнение.
Другая опасность кода заключается в том, что из-за нахождения в главной загрузочной записи его крайне трудно обнаружить из операционной системы средствами антивируса. "Единственный верный способ удалить этот код – запуск консоли восстановления Windows c инсталляционного диска, также следует воспользоваться командой fixmbr в командной строке. В ряде BIOS есть функции для запрещения записи в загрузочный сектор, сейчас эта функциональность может оказаться полезной", – утверждает антивирусный аналитик Symantec Элия Флорио.
Источник: Cybersecurity.
