Буткит
Буткит (Bootkit) (от англ. boot — загрузка и kit — набор инструментов) — это вредоносная программа (так называемая MBR-руткит), которая осуществляет модификацию загрузочного сектора MBR (Master Boot Record) — первого физического сектора на жёстком диске. (Известный представитель — Backdoor.Win32.Sinowal).
Назначение
Используется вредоносными программами для получения максимальных привилегий в операционных системах. Буткит может получить права администратора (суперпользователя) и выполнять любые вредоносные действия. Например, он может загрузить в память специальную динамическую библиотеку, которая вообще не существует на диске. Такую библиотеку очень трудно обнаружить обычными методами, используемыми антивирусами.
Способ распространения
- Через взломанные сайты, порноресурсы и сайты, с которых можно загрузить нелицензионное ПО. При посещении пользователем зараженной страницы, на компьютере начинает выполняться специальный вредоносный скрипт, который на основании текущей даты, установленной на компьютере, генерирует имя сайта, на который необходимо перенаправить пользователя для получения «персонального» эксплойта.
- Руткит-технологии.
Заражение
При запуске, инсталлятор записывает зашифрованное тело буткита в последние сектора жесткого диска, находящиеся за пределами используемого операционной системой дискового пространства. Для обеспечения автозагрузки буткит заражает MBR компьютера, записывая в него свой начальный загрузчик, который до старта операционной системы считывает с диска и разворачивает в памяти основное тело руткита, после чего отдает управление ОС и контролирует процесс её загрузки. Буткит можно рассматривать как гибрид между вирусом и типом загрузочного сектора.
Обнаружение и ликвидация
Семейство данных вредоносных программ ведет себя достаточно скрытно, на зараженной системе его нельзя обнаружить штатными средствами, так как при обращении к зараженным объектам он «подставляет» оригинальные копии. Кроме того, основное тело вредоносной программы (драйвер уровня ядра) не присутствует на файловой системе, а расположено в неиспользованной части диска за границей последнего раздела. Вредоносная программа загружает драйвер самостоятельно, без помощи операционной системы. Сама же операционная система не подозревает о наличии драйвера. Обнаружение и лечение данного буткита является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. Способом борьбы с буткитами является загрузка системы с любого съёмного неинфицированного носителя, чтобы избежать основной загрузки вируса после включения компьютера, и последующая перезапись загрузочного сектора его резервной копией BOOTSECT.BAK, которая всегда находится в корневом каталоге системного тома.
Ссылки
- Буткит — База знаний (недоступная ссылка)
- Буткит на АнтиГад.ру
- Backdoor.Win32.Sinowal
- «Лаборатория Касперского»: лечение зараженной системы от буткита утилитой TDSSKiller
- «Лаборатория Касперского» публикует аналитическую статью «Буткит 2009» Новости об угрозах (15.05.2009)