بوت‌کیت خطرناک مخفیانه در حال گسترش

[sadra-ITE 11]

این بدافزار خطرناک که برای آلودگی ثبات راه انداز اصلی (Master boot record) بروز شده است. رمزنگاری استفاده شده در نوع جدید بدافزار یعنی «Bootkit. Trup. B» بسیار شبیه نوع قدیمی آن «Bootkit. Trup. A» که از یک عملیات ساده چرخش به راست (ROR) استفاده می کند، می باشد.

 

این روتکیت موقعیت هندسهٔ درایو دیسک آلوده را دریافت کرده سپس موقعیت نزدیک به انتهای پارتیشن را برای ذخیره MBR اولیه و دیگر اجزای سخت افزاری را محاسبه می نماید. این اجزا و پیمانه ها در بخش تخصیص نیافته پارتیشن نوشته می شوند، و در مواردی که دیسک پر شده باشد امکان رونویسی با داده های دیگر وجود دارد.

 

MBR اولیه و اجزای درایور به صورت رمزشده با استفاده از همان متد رمزنگاری ذخیره شده اند. کامپوننت درایو، بخش DriverStartIo متعلق به ATAPI جایی که عملیات نوشتن را رصد می کند، را هوک می کند. در مواردی که عملیات نوشتن قصد نوشتن در سکتور بوت رکورد اصلی (MBR) را دارد، روتکیت، عملیات نوشتن را تغییر می دهد. این روش با استفاده از محصولات امنیتی، عملیات تعمیر را دور می زند.

 

مکانیزم محافظتی MBR قبلاً در TDSS مشاهده شد. TDL۴ در پایین پشته ذخیره سازی برای نظارت بر عملیات خواندن و نوشتن در اولین سکتور قرار دارد و اجزای رمزنگاری شدهٔ آن در فضای پارتیشن نشدهٔ دیسک مستقر می باشند.

 

این بدافزار مرورگرهای پرطرفدار را برای تزریق کد و افزودن قابلیت تبلیغات کلیکی برای کسب منافع مالی هدف قرار داده است. روتیکیت مذکور اطلاعات تبلیغات کلیک شده را در یک فایل INI ذخیره می کند.

 

برخی نرم افزارهای امنیتی آلودگی MBR را با عناوينی نظیر: Trojan: DOS/Popureb. B و بدافزار بوتکیت را با عنوان Trojan: Win۳۲/Popureb. E شناسایی می کنند. برخی از مقالات منتشر شده درباره این روتکیت پیشنهاد حذف و نصب مجدد ویندوز را برای حذف این بدافزار می دهند.

 

کاربران کوییک هیل می توانند از ابزار

برای مشاهده این محتوا لطفاً ثبت نام کنید یا وارد شوید.

• ورود
• یا
• ثبت نام

برای شناسایی و پاکسازی این بوتکیت استفاده نمایند. برای تکمیل فرایند ترمیم نیاز به راه اندازی مجدد سیستم می باشد.