Как бороться с буткитами? - Борьба с вредоносными программами - Каталог статей - ключи для каспера
Суббота, 10.12.2016, 13:45
ключи для касперского
Меню сайта
Категории раздела
Rogue security software [2]
Компьютерная безопасность [9]
разное [4]
Борьба с вредоносными программами [12]
Мини-чат
опрос
ПОМОГ ЛИ ВАМ САЙТ
Всего ответов: 915
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0


Форма входа
наш выбор
заработать
Буржунетный сайт для работы с Googl Adcenc
Обучающий комплекс 4.1
WEBрегистратор
Генератор мини-сайтов PRO v2.0
Главная » Статьи » Борьба с вредоносными программами

Как бороться с буткитами?

Bootkit (по-русски, "буткит") - это вредоносная программа, заражающая главную загрузочную запись (MBR - Master Boot Record) на дисковых устройствах.

Этот метод заражения позволяет вредоносной программе начать исполнение до загрузки операционной системы. Код буткита в MBR начинает исполняться после того, как BIOS (Basic Input Output System) выберет зараженное дисковое устройство для загрузки (это может быть как жесткий диск, так и флешка). После получения управления буткит обычно выполняет набор подготовительных действий (чтение и расшифровка своих вспомогательных файлов из собственной файловой системы, которая обычно хранится в неиспользуемых областях диска) и передает управление на оригинальный код загрузчика операционной системы, контролируя ее загрузку на каждом этапе.

Главная особенность буткитов в том, что их невозможно обнаружить штатными сервисами операционной системы, так как ни один компонент вредоносной программы не присутствует в виде файла штатной файловой системы.
Некоторые виды буткитов скрывают сам факт заражения MBR, подменяя его оригинальной копией при попытках чтения.

 

Лечение систем, зараженных буткитами, производится с помощью утилиты TDSSKiller.

 

Список вредоносных программ

Rootkit.Win32.TDSS, Rootkit.Win32.Stoned.d, Rootkit.Boot.Cidox.a, Rootkit.Boot.SST.a, Rootkit.Boot.Pihar.a,b,c, Rootkit.Boot.CPD.a, Rootkit.Boot.Bootkor.a, Rootkit.Boot.MyBios.b, Rootkit.Win32.TDSS.mbr, Rootkit.Boot.Wistler.a, Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k, Rootkit.Boot.SST.b, Rootkit.Boot.Fisp.a, Rootkit.Boot.Nimnul.a, Rootkit.Boot.Batan.a, Rootkit.Boot.Lapka.a, Rootkit.Boot.Goodkit.a, Rootkit.Boot.Clones.a, Backdoor.Win32.Trup.a,b, Backdoor.Win32.Sinowal.knf,kmy, Rootkit.Boot.Xpaj.a, Rootkit.Boot.Yurn.a, Backdoor.Win32.Phanta.a,b, Virus.Win32.TDSS.a,b,c,d,e, Virus.Win32.Rloader.a, Virus.Win32.Cmoser.a, Virus.Win32.Zhaba.a,b,c, Trojan-Clicker.Win32.Wistler.a,b,c, Trojan-Dropper.Boot.Niwa.a, Trojan-Ransom.Boot.Mbro.d, e, Trojan-Ransom.Boot.Siob.a.

 

Лечение зараженной системы

 

  • Запустите файл TDSSKiller.exe на зараженной (или потенциально зараженной) машине;

 

  • Дождитесь окончания сканирования и лечения. После лечения может потребоваться перезагрузка.

 

Важно!

 

  • Утилита имеет свой графический интерфейс.

 

  • Утилита поддерживает
    32-разрядные операционные системы: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1,  Microsoft Windows Server 2003 R2 Standard / Enterprise SP2, Microsoft Windows Server 2003 Standard / Enterprise SP2, Microsoft Windows Server 2008 Standard / Enterprise SP2.
    и
    64-разрядные операционные системы
    : MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2008 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 R2 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2008 R2 Standard / Enterprise x64 Edition SP0 и выше

 

 

Утилита детектирует, как известные буткиты:

так и неизвестные  буткиты (с помощью эвристического анализатора).

 

 

Работа с утилитой

  • Работа утилиты начинается при нажатии на кнопку Начать проверку.
    Производится поиск вредоносных и подозрительных объектов.



  • Если обнаружено заражение MBR буткитом, то будет выведен тип зараженного объекта "Физический диск".

    Для зараженных MBR будут доступны следующие действия:
    • Лечить. Это действие доступно, если утилита точно смогла определить тип буткита.
      Если же утилита определила заражение неизвестным буткитом, то выдается вердикт - Rootkit.Win32.BackBoot.gen.
    • Восстановить. Утилита восстановит стандартный загрузочный код.
    • Скопировать в карантин. При выборе этой опции утилита скопирует зараженную MBR в карантин.



  • После лечения может потребоваться перезагрузка.




Параметры запуска утилиты TDSSKiller.exe из командной строки

-l <имя_файла> - запись отчета в файл. Можно указывать несуществующие на момент запуска пути. Необходимые папки будут созданы автоматически.
-qpath <путь_к_папке> - выбрать расположение папки с карантином (если она не существует, то будет создана);
-h - вывести справку по ключам;
-sigcheck - детектировать все драйвера без цифровой подписи как подозрительные;

ЗамечаниеУтилита будет детектировать драйвера без цифровых подписей или с недействительными подписями. Эти файлы необязательны заражены! Такие драйвера детектируется как «неподписанный файл». Если Вы подозреваете, что это вредоносный файл, то отправьте его в Вирусную Лабораторию на проверку.

-tdlfs - детектировать наличие файловой системы TDLFS, создаваемой руткитами TDL 3/4 в последних секторах жесткого диска для хранения своих файлов. Поддерживается возможность копирования в карантин всех этих файлов.

 

При использовании следующих ключей действия запрашиваться не будут:

-qall - скопировать в карантин все объекты (в том числе и чистые);
-qsus - скопировать в карантин только подозрительные объекты;
-qboot - копировать в карантин все загрузочные сектора;
-qmbr - скопировать в карантин все MBR;
-qcsvc <имя_сервиса> - скопировать указанный сервис в карантин;
-dcsvc <имя_сервиса> - удалить указанный сервис;
-silent – тихий режим проверки (без показа пользователю каких-либо окон), для возможности централизованного запуска утилиты по сети;
-dcexact - лечение/удаление известных угроз автоматически (полезно в сочетании с ключом «-silent» при лечении множества компьютеров в сети).


Например
, для проверки компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита TDSSKiller.exe) используйте следующую команду:

TDSSKiller.exe -l report.txt
Категория: Борьба с вредоносными программами | Добавил: admin (01.05.2012)
Просмотров: 1871 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
реклама
уу
Поиск
реклама
Copyright MyCorp © 2016