Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Prihlásenie

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Nová varianta havěti napadající hlavní zaváděcí sektor

Před několika dny jsem narazil na novou variantu malware známého pod jmény Mebroot a Sinoval. Tento rootkit je proslulý tím, že napadá hlavní zaváděcí sektor pevného disku počítače (Master Boot Record). Mebroot na disku nevytváří žádné spustitelné soubory a nenajdeme jej tudíž ani mezi spuštěnými procesy ve Správci úloh ani mezi ovladači v jádře operačního systému.

Přítomnost Mebrootu se projevuje několika způsoby. Havěť modifikuje paměť procesu explorer.exe, zřejmě za účelem monitorování či modifikace síťové komunikace. V jádře systému běží několik skrytých vláken, která vykonávají kód nepatřící žádnému ovladači. Třetí změnou je pozměněný hlavní zaváděcí sektor. Jeho modifikaci však lze odhalit pouze speciálními nástroji, mezi které patří například program mbr.exe, který uměl (až do nynějška) hlavní zaváděcí sektor i opravit.

U nové varianty autoři vylepšili skrývání modifikace hlavního zaváděcího sektoru. Dřívější kousky pozměnily obecný ovladač disku (disk.sys), takže kdykoliv se někdo pokusil číst obsah onoho sektoru, rootkit předstíral, že MBR modifikován není. Detekce změny obsahu MBR je převážně založena také na využití služeb obecného ovladače disku. Nová varianta Mebrootu však jde níže - pravděpodobně upravuje kód ovladačů, jež ovládají ATA a SATA zařízení (tedy například atapi.sys), které v hiearchii leží pod obecným ovladačem disku.

Rootkit tedy operuje na nižší úrovni než většina obranných utilit. Antirootkity modifikaci MBR nedetekují, takže například prográmek mbr.exe, který až doposud z odstraněním Mebrootu neměl problémy, je nyní neúčinný. Stejně tak GMER ani Rootkit Unhooker nevidí žádnou modifikaci veledůležitého sektoru. Oba antirootkity však vidí skrytě běžící vlákna a modifikace síťového rozhraní procesu explorer.exe.

Co z výše uvedených informací vyplývá? Nový Mebroot je stále detekovatelný. Standardní postupy na jeho odstranění z infikovaného systému však selhávají. Příkaz fixmbr dostupný z Konzole pro zotavení je samozřejmě stále funkční, tudíž odstranit tento malware, pokud jeho přítomnost zjistíme, nepředstavuje příliš velký problém.

Komentáre

a nedovoli spustit nudzovy rezim, prakticky hned je BSOD BOOT_DEVICE_INACCESSIBLE

Ahoj, no neviem čo si testoval ale pri našich testoch núdzový režim fungoval.

Ahoj, testoval som presne to, co som uviedol ako odkaz na vysledky na virustotale. Hod sem vysledok testu tvojih suborov a mozme porovnat md5 sumy ci ide o ten isty variant

MD5 mnou testovaného samplu je b6c7011eefaedd4560128a3c1394f655 Uploadnul jsem ho na Offensive Computing. Vypadá to, že těch nových variant je více, protože já konkrétně jsem neviděl žádné modifikace ovladače atapi.sys (jak našli na foru Sysinternals), ale program mbr.exe byl slepý...

Moje MD5: b6c7011eefaedd4560128a3c1394f655, rovnaká vzorka ako Martinova.

sr ešte nám prosím prezraď ako si testoval a odkiaľ si získal vzorku, inak súbory xy.tmp sú vytvorené až po aktivácií malware v systéme

otvoril som stranku s pdf, explorer padol tak som vedel ze to bude virus, v temp adresary som nasledne nasiel tieto subory. scan disku z ineho systemu drwebom hlasi maosboot v mbr

Mohol by si mi prosím ťa poslať tu stránku e-mailom?

mam len tie subory a pdf, url adresu nie

Tak mi pošli prosím to pdf.

mal by si ho uz mat

Vďaka za súbor ;-)

http://news.drweb.com/show/?i=322&c=5 Using the improved anti-rootkit module that detects and neutralizes the new version of BackDoor.MaosBoot

Dik za info ;-)

Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info