Мебрут

Mebroot — это основной загрузочной записи, на основе руткит используемый ботнетами, включая Torpig . Это сложный троянский конь, который использует методы скрытности , чтобы скрыться от пользователя. Троянец открывает черный ход на компьютере жертвы, что позволяет злоумышленнику получить полный контроль над компьютером. ^{[ 1 ]}

Полезная нагрузка

Троянец заражает MBR, позволяя себе запуститься еще до запуска операционной системы. Это позволяет ему обойти некоторые меры безопасности и внедриться глубоко в операционную систему . Известно, что троянец может перехватывать операции чтения/записи, внедряться глубоко в сетевые драйверы . Это позволяет ему обходить некоторые брандмауэры используя собственный зашифрованный туннель и безопасно взаимодействовать с сервером управления и контроля, . Это позволяет злоумышленнику установить другое вредоносное ПО , вирусы или другие приложения. Троянец чаще всего крадет информацию с компьютера жертвы в попытке получить небольшую финансовую выгоду. Mebroot связан с Anserin, еще одним трояном, который регистрирует нажатия клавиш и крадет банковскую информацию. Это дает дополнительные доказательства того, что за Mebroot, скорее всего, стоят финансовые мотивы. ^{[ 2 ]}

Обнаружение/удаление

Троянец пытается избежать обнаружения, подключаясь к atapi.sys . ^{[ 3 ]} Он также встраивается в Ntoskrnl.exe . ^{[ 4 ]} Mebroot не имеет исполняемых файлов, ключей реестра и модулей драйверов, что затрудняет его обнаружение без антивирусного программного обеспечения. Помимо запуска антивирусного программного обеспечения, можно также удалить трояна, очистив или восстановив главную загрузочную запись, жесткий диск и операционную систему. ^{[ 5 ]}

Распределение

Были обнаружены три варианта Mebroot. Предполагается, что первая версия была скомпилирована в ноябре 2007 года. В декабре Mebroot начал попутную загрузку . В начале 2008 года пришла вторая волна атак. В феврале 2008 года был обнаружен второй вариант, сопровождаемый модифицированным установщиком. ^{[ 2 ]} В марте 2008 года был обнаружен третий вариант, при котором атаки стали более массовыми. Начиная с третьего варианта, троянец был модернизирован, чтобы попытаться перехитрить антивирусное программное обеспечение. Неизвестно, находится ли Mebroot еще в дикой природе. Mebroot в настоящее время известен ^{[ когда? ]} распространяться при посещении вредоносных веб-сайтов или с помощью приложения эксплойта . ^{[ 6 ]} По оценкам, более 1500 веб-сайтов были скомпрометированы, в основном в европейском регионе. Трафик веб-сайтов, зараженных Mebroot, может достигать 50 000–100 000 просмотров в день. ^{[ 7 ]}

Ссылки

^ «Симантек» . Архивировано из оригинала 11 января 2008 года . Проверено 3 апреля 2015 г.
^ Перейти обратно: ^а ^б «Троян.Mebroot — Symantec» . Симантек . Архивировано из оригинала 11 января 2008 года.
^ «Трендмикро» . Проверено 3 апреля 2015 г.
^ «Хьюстонские хроники» . Проверено 3 апреля 2015 г.
^ «УЦР» . Проверено 3 апреля 2015 г.
^ «Руткит:Описание загрузки/Mebroot» . www.f-secure.com .
^ «вирусбтн» (PDF) . Проверено 3 апреля 2015 г.

Внешние ссылки

MBR Rootkit, новое поколение вредоносных программ — блог F-Secure, март 2008 г.
Руткит Stealth MBR от GMER, январь 2008 г.
Технические подробности Trojan.Mebroot | Симантек
От Gromozon до Mebroot - размышления о руткитах сегодня на Wayback Machine (архивировано 26 октября 2013 г.)

[1] «Симантек» . Архивировано из оригинала 11 января 2008 года . Проверено 3 апреля 2015 г.

[Symantec-2] Перейти обратно: ^а ^б «Троян.Mebroot — Symantec» . Симантек . Архивировано из оригинала 11 января 2008 года.

[3] «Трендмикро» . Проверено 3 апреля 2015 г.

[4] «Хьюстонские хроники» . Проверено 3 апреля 2015 г.

[5] «УЦР» . Проверено 3 апреля 2015 г.

[6] «Руткит:Описание загрузки/Mebroot» . www.f-secure.com .

[7] «вирусбтн» (PDF) . Проверено 3 апреля 2015 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]