Лидеры форума

Классический файловый вирус:

Число компьютерных вирусов в мире стремительно растет. Вирусами теперь можно заразиться не только из электронных писем, но и при посещении веб-сайтов «приличных» компаний. Жертвой хакера, к примеру, можно стать при бронировании номера в отеле. За прошедший год число компьютерных вирусов в интернете стремительно выросло, говорится в отчете, подготовленном компьютерной компанией Symantec. Если в 2007 году в интернете было зарегистрировано 624,3 тыс. вирусов, то в 2008 году специалисты компании насчитали уже 1,6 млн. «60% всех вредоносных программ, зарегистрированных за последние 20 лет, было изобретено за последние 12 месяцев», — сообщил вице-президент Symantec Винсент Уифер, передает Reuters. Создатели вирусов перестают использовать электронные письма со спамом (фишинг), для того чтобы получить персональные данные с компьютеров. Теперь они предпочитают заражать серьезные интернет-сайты, например компаний, работающих в сфере услуг. При этом хакеры стараются не трогать крупные корпоративные сайты: нормальное функционирование таких веб-порталов может быть восстановлено специалистами компании в течение короткого времени. Хакеры предпочитают сайты небольших компаний, говорится в отчете, к примеру небольших гостиниц. «Плохие парни находят приличные сайты и их компрометируют», — заявил Уифер. Цель таких атак — кража информации, учитывая все большую популярность широкополосного доступа в интернет, в связи с чем регионы со слабой законодательной базой становятся раем для хакеров. «В 2008 году в 76% случаев использовались устройства, регистрирующие каждое нажатие клавиши на клавиатуре, для того чтобы выкрасть информацию, к примеру банковские счета», — говорится в отчете. Как только номера кредитных карточек, имена и пароли пользователей украдены, хакеры перепродают их на черном рынке. «Самой востребованной информацией для продажи на черном компьютерном рынке в 2008 году была информация о кредитных картах. Это составило 32% от общего объема», — говорится в отчете. Оптовая цена за каждую карту составляет 6 центов. На втором месте данные о банковском счете (19%). Они стоят от $10 до $100. На третьем месте пароли и имена на электронную почту (5%). Их цена колеблется от 10 центов до $100. «Поскольку широкополосный доступ в интернет распространяется и дешевеет, это приводит к увеличению числа компьютерных вирусов», — отметил представитель Symantec. По его мнению, учитывая сложившуюся ситуацию, пользователи больше не могут рассчитывать только на себя и антивирусные программы. Он призвал к международному сотрудничеству в области борьбы с создателями вредоносных программ. Источник: Infox.ru

Немного от себя добавлю - активным в системе его действительно не видит ни один антивирус (даже если будет запись на зараженный mbr). Впрочем, не думаю, что такая картина сильно измениться в будущем. Если обратиться к последнему тесту на активное заражение, то видно, что буткита предыдущего поколения смогли обнаружить и вылечить 4 продукта - Avast, DrWeb, Kaspersky и McAfee. Еще один, Eset, обнаруживал его присутствие в системе, но лечить был не в состоянии. Причем, тест проводился спустя полгода после появления данной (то бишь прошлой) модификации буткита. К теперешнему моменту ситуации не изменилась. Этот новый вариант буткита имеет куда большую защиту от обнаружения. Касаемо "обходит все" - если говорить об инсталляции, то да, обходит многое. Все, что ему нужно для успешного заражения системы - открыть диск на по-секторное чтение. Далее, используя ReadFile и WriteFile он записывает свой драйвер и модифицирует главную загрузочную запись. После чего перезагружает ПК, вызывая shutdown с параметрами. К сожалению, нигде не было тестирования HIPS-компонент популярных средств защиты на возможность открытия диска (в ближайшее время выйдет сравнение, в котором этот момент будет учтен). Основная цель буткита - кража конфиденциальной информации, что достигается перехватами в User Mode. Для этого буткитом загружается специальный модуль со своих серверов. [764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - RelativeJump 0x77DD9E9C [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - SEH 0x77DD9EA1 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - SEH 0x77DD9EA2 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - RelativeJump 0x77DDA109 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - SEH 0x77DDA10E [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - SEH 0x77DDA10F [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - RelativeJump 0x77DDE340 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - SEH 0x77DDE345 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - SEH 0x77DDE346 [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpOpenRequestA, Type: Inline - RelativeJump 0x771B2AF9 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetConnectA, Type: Inline - RelativeJump 0x771B3452 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetCloseHandle, Type: Inline - RelativeJump 0x771B4D8C [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpSendRequestA, Type: Inline - RelativeJump 0x771B60A1 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetReadFile, Type: Inline - RelativeJump 0x771B82EA [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpSendRequestW, Type: Inline - RelativeJump 0x77202EBC [unknown_code_page] Активного буткита пока можно обнаружить антируткитом RootRepeal (см. скрин). Ну и конечно же, чтобы не заразиться этим руткитом стоит всегда обновлять ОС, браузер и приложения, использующие плагины к нему, антивирусное программное обеспечение (которое может препятствовать открытию страницы с эксплоитом, срабатыванию эксплоита, может обнаружить сам инсталлятор буткита сигнатурно, женериком, эвристически или же, что куда более надежно в плане детекта, анализом системных событий - открытие диска). Идеальный вариант - работа под ограниченной учетной записью (т.к. открытие диска для модификации mbr возможно только с правами администратора).