Главная » Интернет и IT » Как VBR-руткит заражает загрузочный сектор

Как VBR-руткит заражает загрузочный сектор

Несколько лет назад начали стремительно распространяться, так называемые VBR-руткиты (загрузочные руткиты / буткиты), которые заражают boot-сектора. Похоже, что для производителей антивирусов добавилось работы. Давайте рассмотрим, как руткиты используют особенности загрузки томов жестких дисков в своих злостных целях.

В последнее время наблюдается тенденция усложнения вирусов, троянов и прочих вредоносных программ. Код становится все элегантнее, а методы воздействия все изощреннее. Да, «плохие парни» могли бы работать в хороших конторах по информационной безопасности, но нелегально денежек можно срубить в разы больше.

Манифестация VBR-rootkit’а

Судя по всему, первыми обнаружили этот руткит ребята из «Dr.Web». И окрестили его Trojan.Mayachok, забавно, не правда ли? Основной особенностью данной малвари является оригинальный способ заражения системы. Дело в том, что каждый раздел (partition) имеет свою собственную загрузочную запись – Volume Boot Record, это не то же самое, что и MBR (master boot record), но суть их практически одинакова. MBR отвечает за загрузку всего диска в целом, а VBR – за загрузку отдельно взятых томов. VBR содержит такую информацию как имя тома, число секторов, размер тома и т.п. Но помимо этого, он еще содержит и код загрузки тома (VBC), который нужен для старта загрузки ОС. Trojan.Mayachok.5

VBR-руткит заражает код загрузки тома, совершая подмену списка драйверов, загружающихся с ОС. Классическая проверка загрузочной области не выявляет малварь, т.к. руткит располагается внутри самой VBR. Руткит перехватывает прерывание INT 13h для просмотра содержимого секторов, считываемых с диска. Затем он подгружает свой драйвер и распаковывает на прежнее место оригинальный код VBR, и управление переходит системному загрузчику. Затем руткит преспокойно патчит ntldr, bootmgr, osloader.exe, winload.exe, в зависимости от используемого загрузчика. Таким образом, под обстрел попадает вся линейка MS Win. Разумеется, это не все фишки руткита, подробнее вы сможете ознакомиться после дополнительного поиска в Google.

Подробнее о заражении

В систему, зараженную руткитом, устанавливается драйвер, который грузит дополнительную dll’ку или во все процессы, или в определенный заданный процесс. Как же может троян подпортить вам жизнь? Что ж, это зависит от подгружаемой библиотеки, например, может красть деньги с вашего сотового счета, предлагая ответить на входящюю sms’ку. Еще были зафиксированы случаи, когда он подменял веб-адреса youtube, vk, odnoklassniki, rostelecom, мой мир, ну и прочие социалки.  При попытке зайти на сайт  троянчик делал редирект на странички, предлагающие выполнить sms-активацию (подтверждение аккаунта). Т.е. руткит подгрузил свою библиотеку в процессы браузера и подменяет страницы. Вот и получается, что vbr-руткит является курьером по доставке вредоносного обеспечения, а лично сам ничего не портит.

Проверить заражена ваша система или нет можно следующим образом:

Запускаем командную строку (Win+R или Пуск > Выполнить) и пишем

echo hello >null

Если все нормально, то следующая строчка выскочит пустая. Если же нет – «The system cannot find the file specified.» или что-то в этом духе.

Подводя итоги

Но что примечательно, так это то, что у этого руткита нету защиты от проактивных и антивирусных программ. Хотя автор, придумавший столько оригинальный подход,  запросто мог бы прикрутить хоть какую-никакую, но защиты, даже взять хотя бы тот же TDL. Если бы составитель реализовал нечто подобное, это было бы сильная напасть. Но есть мнение, что vbr-руткиты с защитой от антивирей все-же есть в закрытых кругах.

Оставить комментарий

Подпишитесь на наш паблик в ВК

Рейтинг@Mail.ru