A vírusfertőzés veszélye nagyon is valós. A láthatatlan erők mindenütt jelenléte a számítógépünk megtámadásán, személyazonosságunk ellopásán és a bankszámláink rajtaütésén állandó, de reméljük, hogy a megfelelő mennyiségű technikai nous és egy kis szerencse, minden rendben lesz.
szükségem van egy dedikált grafikus kártyára?
Bármennyire fejlett is a víruskereső és más biztonsági szoftverek, a leendő támadók továbbra is új, ördögi vektorokat találnak a rendszer megzavarására. A bootkit az egyik. Bár nem teljesen új a rosszindulatú programok terén, a használatuk általános növekedése és a képességeik határozott erősödése figyelhető meg.
Nézzük meg, mi az a bootkit, vizsgáljuk meg a bootkit egyik változatát, a Nemesis és a fontolja meg, mit tehet, hogy világos maradjon .
Mi az a Bootkit?
Ahhoz, hogy megértsük, mi a bootkit, először elmagyarázzuk, honnan származik a terminológia. A rendszerindító csomag a rootkit egyik változata, egy rosszindulatú program, amely képes elrejteni magát az operációs rendszer és a víruskereső szoftver elől. A rootkiteket köztudottan nehéz felismerni és eltávolítani. A rendszer minden indításakor a rootkit folyamatos gyökér szintű hozzáférést biztosít a támadónak a rendszerhez.
A rootkit számos okból telepíthető. Néha a rootkit több kártevő telepítésére szolgál, néha egy „zombi” számítógép létrehozására egy botneten belül, titkosítási kulcsok és jelszavak ellopására, vagy ezek és más támadási vektorok kombinálására.
A rendszerindító betöltő szintű (bootkit) rootkitek lecserélik vagy módosítják a törvényes rendszerbetöltőt a támadóinak egyikével, ami hatással van a Master Boot Recordra, a Volume Boot Recordra vagy más rendszerindítási szektorokra. Ez azt jelenti, hogy a fertőzés betölthető az operációs rendszer előtt, és így felboríthatja az észlelési és megsemmisítési programokat.
Használatuk növekszik, és a biztonsági szakértők számos támadást észleltek, amelyek a monetáris szolgáltatásokra összpontosítanak, amelyek közül a „Nemesis” az egyik legutóbb megfigyelt kártevő ökoszisztéma.
Biztonsági Nemesis?
Nem, nem a Star Trek film, de a bootkit különösen csúnya változata. A Nemesis rosszindulatú programok ökoszisztémája számos támadó képességgel rendelkezik, beleértve a fájlátvitelt, a képernyő rögzítését, a billentyűleütés naplózását, a folyamatinjekciót, a folyamatkezelést és a feladatütemezést. A FireEye, a kiberbiztonsági vállalat, amely először észlelte a Nemesis -t, azt is jelezte, hogy a rosszindulatú program átfogó hátsó ajtótámogatási rendszert tartalmaz számos hálózati protokoll és kommunikációs csatorna számára, lehetővé téve a telepítés után a jobb irányítást és irányítást.
Windows rendszerben a Master Boot Record (MBR) tárolja a lemezre vonatkozó információkat, például a partíciók számát és elrendezését. Az MBR létfontosságú a rendszerindítási folyamat szempontjából, és tartalmazza az aktív elsődleges partíciót megkereső kódot. Miután ezt megtalálta, a vezérlés átadódik a Volume Boot Record (VBR) kötetnek, amely az egyes partíciók első szektorában található.
A Nemesis bootkit eltéríti ezt a folyamatot. A rosszindulatú program egyéni virtuális fájlrendszert hoz létre, hogy tárolja a Nemesis összetevőit a partíciók közötti kiosztott térben, és eltéríti az eredeti VBR -t azáltal, hogy felülírja az eredeti kódot a sajátjával, a 'BOOTRASH' névre keresztelt rendszerben.
A telepítés előtt a BOOTRASH telepítő statisztikákat gyűjt a rendszerről, beleértve az operációs rendszer verzióját és architektúráját. A telepítő a rendszer processzor architektúrájától függően képes telepíteni a Nemesis összetevők 32 vagy 64 bites verzióit. A telepítő telepíti a rendszerindító készletet bármely merevlemezre, amely rendelkezik MBR rendszerindító partícióval, függetlenül a merevlemez típusától. Ha azonban a partíció a GUID Partition Table lemez architektúráját használja, szemben az MBR particionálási sémával, akkor a rosszindulatú program nem folytatja a telepítési folyamatot. '
Ezután a partíció minden meghívásakor a rosszindulatú kód beinjektálja a várakozó Nemesis összetevőket a Windowsba. Ennek eredményeként , 'a rosszindulatú program telepítési helye azt is jelenti, hogy az operációs rendszer újratelepítése után is fennmarad, amelyet a kártékony programok felszámolásának leghatékonyabb módjának tartanak', és felfelé irányuló küzdelmet hagy a tiszta rendszerért.
Vicces módon a Nemesis rosszindulatú programok ökoszisztémája tartalmaz saját eltávolítási funkciót. Ez visszaállítaná az eredeti rendszerindítási szektort, és eltávolítaná a rosszindulatú programokat a rendszerből - de csak abban az esetben, ha a támadóknak saját maguknak kell eltávolítaniuk a rosszindulatú programokat.
UEFI biztonságos rendszerindítás
A Nemesis bootkit nagymértékben érintette a pénzügyi szervezeteket, hogy adatokat gyűjtsön és elkülönítse a pénzeszközöket. Használatuk nem lepte meg az Intel vezető műszaki marketingmérnökét, Brian Richardson , ki megjegyzi 'Az MBR bootkitek és rootkitek vírus támadási vektorok voltak a' Beszúrás a lemezbe: és nyomja meg az ENTER gombot a folytatáshoz 'óta. Elmagyarázta, hogy bár a Nemesis kétségtelenül tömegesen veszélyes kártevő, nem feltétlenül befolyásolja az otthoni rendszert.
hogyan kell telepíteni az ubuntut a mac -re
Az elmúlt néhány évben létrehozott Windows rendszereket valószínűleg GUID partíciós táblával formázták, az alapul szolgáló firmware -t UEFI -n alapulva. A rosszindulatú programok BOOTRASH virtuális fájlrendszer -létrehozási része egy régi lemezmegszakításra támaszkodik, amely nem létezik az UEFI -vel induló rendszereken, míg az UEFI Secure Boot aláírás -ellenőrzés blokkolja a rendszerindító rendszert a rendszerindítási folyamat során.
Tehát azok az újabb rendszerek, amelyeket előre telepítettek a Windows 8 vagy a Windows 10 rendszerrel, legalább egyelőre mentesülnek ettől a fenyegetéstől. Ez azonban egy nagy problémát illusztrál, amikor a nagyvállalatok nem frissítik informatikai hardverüket. Azok a cégek, amelyek még mindig használják a Windows 7 -et, és sok helyen még mindig a Windows XP rendszert használva komoly pénzügyi és adatveszélynek teszik ki magukat és ügyfeleiket.
A méreg, A gyógymód
A rootkitek trükkös operátorok. Az elhomályosodás mesterei, úgy tervezték őket, hogy a rendszert a lehető leghosszabb ideig irányítsák, és a lehető legtöbb információt gyűjtsék be ez idő alatt. A vírus- és kártevőirtó cégek tudomásul vették és számos rootkit -et az eltávolító alkalmazások már elérhetők a felhasználók számára :
- Malwarebytes Anti-Rootkit Béta
- Kaspersky Lab TDSSKiller
- Avast aswMBR
- Bitdefender Anti-Rootkit
- GMER - fejlett alkalmazás, amely kézi eltávolítást igényel
Még akkor is, ha fennáll a sikeres eltávolítás lehetősége, sok biztonsági szakértő egyetért abban, hogy az egyetlen módja annak, hogy 99% -ban biztos legyen a tiszta rendszerben, a teljes meghajtóformátum - ezért ügyeljen arra, hogy a rendszerről biztonsági másolatot készítsen!
Tapasztaltál rootkit -et, vagy akár bootkit -et? Hogyan tisztította meg a rendszert? Tudassa velünk alább!
Részvény Részvény Csipog Email 3 módszer annak ellenőrzésére, hogy az e -mail valódi vagy hamisHa olyan e -mailt kapott, amely kissé kétesnek tűnik, mindig a legjobb ellenőrizni annak hitelességét. Íme három módszer annak megállapítására, hogy egy e -mail valódi -e.
Olvassa tovább Kapcsolódó témák- Biztonság
- Lemezpartíció
- Hackelés
- Számítógép biztonság
- Rosszindulatú
Gavin a Windows és a Technology Explained junior szerkesztője, rendszeresen közreműködik a Valóban hasznos podcastban, és rendszeres termékértékelő. BA (Hons) kortárs írással és digitális művészeti gyakorlatokkal rendelkezik a devoni domboktól, valamint több mint egy évtizedes szakmai írói tapasztalattal rendelkezik. Rengeteg teát, társasjátékokat és focit élvez.
Továbbiak Gavin Phillips -tőlIratkozzon fel hírlevelünkre
Csatlakozz hírlevelünkhöz, ahol technikai tippeket, értékeléseket, ingyenes e -könyveket és exkluzív ajánlatokat találsz!
Feliratkozáshoz kattintson ide