Bootkit (по-русски, "буткит") - это вредоносная программа, заражающая главную загрузочную запись (MBR - Master Boot Record) на дисковых устройствах.

Этот метод заражения позволяет вредоносной программе начать исполнение до загрузки операционной системы. Код буткита в MBR начинает исполняться после того, как BIOS (Basic Input Output System) выберет зараженное дисковое устройство для загрузки (это может быть как жесткий диск, так и флешка). После получения управления буткит обычно выполняет набор подготовительных действий (чтение и расшифровка своих вспомогательных файлов из собственной файловой системы, которая обычно хранится в неиспользуемых областях диска) и передает управление на оригинальный код загрузчика операционной системы, контролируя ее загрузку на каждом этапе.

Главная особенность буткитов в том, что их невозможно обнаружить штатными сервисами операционной системы, так как ни один компонент вредоносной программы не присутствует в виде файла штатной файловой системы.
Некоторые виды буткитов скрывают сам факт заражения MBR, подменяя его оригинальной копией при попытках чтения.

Лечение систем, зараженных буткитами, производится с помощью утилиты TDSSKiller.

Список вредоносных программ

Rootkit.Win32.TDSS, Rootkit.Win32.Stoned.d, Rootkit.Boot.Cidox.a, Rootkit.Boot.SST.a, Rootkit.Boot.Pihar.a,b,c, Rootkit.Boot.CPD.a, Rootkit.Boot.Bootkor.a, Rootkit.Boot.MyBios.b, Rootkit.Win32.TDSS.mbr, Rootkit.Boot.Wistler.a, Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k, Rootkit.Boot.SST.b, Rootkit.Boot.Fisp.a, Rootkit.Boot.Nimnul.a, Rootkit.Boot.Batan.a, Rootkit.Boot.Lapka.a, Rootkit.Boot.Goodkit.a, Rootkit.Boot.Clones.a, Backdoor.Win32.Trup.a,b, Backdoor.Win32.Sinowal.knf,kmy, Rootkit.Boot.Xpaj.a, Rootkit.Boot.Yurn.a, Backdoor.Win32.Phanta.a,b, Virus.Win32.TDSS.a,b,c,d,e, Virus.Win32.Rloader.a, Virus.Win32.Cmoser.a, Virus.Win32.Zhaba.a,b,c, Trojan-Clicker.Win32.Wistler.a,b,c, Trojan-Dropper.Boot.Niwa.a, Trojan-Ransom.Boot.Mbro.d, e, Trojan-Ransom.Boot.Siob.a.

Лечение зараженной системы

• Скачайте файл TDSSKiller.exe;

• Запустите файл TDSSKiller.exe на зараженной (или потенциально зараженной) машине;

• Дождитесь окончания сканирования и лечения. После лечения может потребоваться перезагрузка.

Важно!

• Утилита имеет свой графический интерфейс.

• Утилита поддерживает
  32-разрядные операционные системы: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1,  Microsoft Windows Server 2003 R2 Standard / Enterprise SP2, Microsoft Windows Server 2003 Standard / Enterprise SP2, Microsoft Windows Server 2008 Standard / Enterprise SP2.
  и
  64-разрядные операционные системы: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2008 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 R2 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2008 R2 Standard / Enterprise x64 Edition SP0 и выше

• Утилиту можно запускать в Обычном и в Безопасном режиме.

Утилита детектирует, как известные буткиты:

• TDSS TDL4;
• Sinowal (Mebroot, MaosBoot);
• Phanta (Phantom, Mebratix);
• Trup (Alipop);
• Whistler;
• Stoned,

так и неизвестные  буткиты (с помощью эвристического анализатора).

Работа с утилитой

• Работа утилиты начинается при нажатии на кнопку Начать проверку.
  Производится поиск вредоносных и подозрительных объектов.
  
  
  
  
• Если обнаружено заражение MBR буткитом, то будет выведен тип зараженного объекта "Физический диск".
  
  Для зараженных MBR будут доступны следующие действия:
  
• Лечить. Это действие доступно, если утилита точно смогла определить тип буткита.
  Если же утилита определила заражение неизвестным буткитом, то выдается вердикт - Rootkit.Win32.BackBoot.gen.
  
• Восстановить. Утилита восстановит стандартный загрузочный код.
  
• Скопировать в карантин. При выборе этой опции утилита скопирует зараженную MBR в карантин.
  

• После лечения может потребоваться перезагрузка.
  
  
  
  
  

Параметры запуска утилиты TDSSKiller.exe из командной строки

-l <имя_файла> - запись отчета в файл. Можно указывать несуществующие на момент запуска пути. Необходимые папки будут созданы автоматически.
-qpath <путь_к_папке> - выбрать расположение папки с карантином (если она не существует, то будет создана);
-h - вывести справку по ключам;
-sigcheck - детектировать все драйвера без цифровой подписи как подозрительные;

Утилита будет детектировать драйвера без цифровых подписей или с недействительными подписями. Эти файлы необязательны заражены! Такие драйвера детектируется как «неподписанный файл». Если Вы подозреваете, что это вредоносный файл, то отправьте его в Вирусную Лабораторию на проверку.

-tdlfs - детектировать наличие файловой системы TDLFS, создаваемой руткитами TDL 3/4 в последних секторах жесткого диска для хранения своих файлов. Поддерживается возможность копирования в карантин всех этих файлов.

При использовании следующих ключей действия запрашиваться не будут:

-qall - скопировать в карантин все объекты (в том числе и чистые);
-qsus - скопировать в карантин только подозрительные объекты;
-qboot - копировать в карантин все загрузочные сектора;
-qmbr - скопировать в карантин все MBR;
-qcsvc <имя_сервиса> - скопировать указанный сервис в карантин;
-dcsvc <имя_сервиса> - удалить указанный сервис;
-silent – тихий режим проверки (без показа пользователю каких-либо окон), для возможности централизованного запуска утилиты по сети;
-dcexact - лечение/удаление известных угроз автоматически (полезно в сочетании с ключом «-silent» при лечении множества компьютеров в сети).

Например, для проверки компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита TDSSKiller.exe) используйте следующую команду: