Как обнаружить заражение 64-битным руткитом Alureon

Alureon, или TDL, TLD3 и Tidserv, — это первый руткит, который может заразить 64-битные ПК с Windows. До этого только 32-разрядные системы были подвержены воздействию руткитов, и многие пользователи Windows осознали, что в феврале, когда Microsoft исправила MS10-015, зараженные машины отображали синий экран. Очевидно, тогда это была не вина Microsoft, о чем поначалу подозревали как профессионалы, так и пользователи. После некоторых исследований выяснилось, что за такое поведение отвечает руткит TLD3.

С тех пор разработчики руткита значительно улучшили его, и им удалось добавить возможность заражения 64-битных систем Windows. . Это первое, и производители систем безопасности обеспокоены этой тенденцией.

Однако авторы этих атак не отдыхают. Чуть меньше месяца назад нам стало известно о новом варианте Alureon, который заражает главную загрузочную запись (MBR) вместо зараженного драйвера. Хотя этот новый вариант не повлиял на 64-битные машины, в его виртуальной файловой системе был инертный файл ldr64. Совсем недавно мы обнаружили обновленный вариант, который успешно заразил 64-битные машины под управлением Windows Vista или более поздней версии, в то же время делая невозможным загрузку 64-битных компьютеров с Windows XP и Server 2003.

Многие охранные компании уже добавили обнаружение 64-битного варианта в свои приложения безопасности, Microsoft, например, добавила подписи в Microsoft Security Essentials в начале августа.

Тем не менее, владельцы 64-битных Windows могут захотеть лично убедиться, что руткит не установлен в их операционной системе. Как следует из приведенной выше информации, владельцы Windows XP и Windows Server 2003 сразу заметят, что что-то не так, поскольку их операционная система не загрузится. Пользователи 64-разрядной версии Windows Vista или Windows 7 должны продолжить чтение.

Для этого есть как минимум два варианта, все с инструментами, уже включенными в операционную систему:

Откройте командную строку в Windows-R, введите cmd и введите.

Используйте команда diskpart , чтобы открыть Diskpart в новом окне командной строки.

Введите lis dis в новом запросе, если он остается пустой компьютер заражен руткитом. Если диски отображаются, это не так.

Хорошо

Плохо

Второй вариант обнаружения 64-битного руткита: Запустите управление дисками из панели управления компьютером.

Если не отображаются диски, значит, система заражена руткитом. Если отображаются диски, все в порядке.

Зараженная система

Дополнительная информация доступна на сайтах Technet и Symantec..

Как удалить руткит, если система заражена:

Некоторые программы могут удалить руткит и восстановить MBR так что после ремонта система загружается нормально.

Hitman Pro Beta 112 и более поздние версии могут это сделать, например.

Оцените статью
toodcast.ru
Добавить комментарий