Новый вариант MBR-руткита Sinowal

--> Дата: Май 14, 2009 39

Компания "Лаборатория Касперского" сообщила о детектировании и лечении нового варианта уникального MBR-руткита. Новый вариант вредоносной программы Sinowal с функционалом, который позволяет ей скрывать свое присутствие в системе путем заражения главной загрузочной записи (Master Boot Record, MBR) жесткого диска, был обнаружен экспертами компании в конце марта.

Предыдущие варианты этого руткита были детально изучены экспертами компании в течение прошлого года, но новый вариант стал сюрпризом для исследователей. Модификация Backdoor.Win32.Sinowal, чтобы предотвратить свое обнаружение, использует гораздо более глубокий уровень внедрения в систему, чем прошлые версии. Ее метод скрытия использует перехваты на уровне объектов устройств, самом глубоком уровне работы ОС. Ранее злоумышленники никогда не обращались к таким продвинутым технологиям; из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их учетных записей.

По данным экспертов "Лаборатории Касперского", буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Один из основных способов проникновения в систему — использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.

Обнаружение и лечение буткита стало наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. "Лаборатория Касперского" одной из первых среди ведущих антивирусных компаний реализовала в своих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.

Для борьбы с новым вариантом руткита в дополнение к антивирусной защите эксперты "Лаборатории Касперского" рекомендуют всем пользователям установить патчи, закрывающие уязвимости в Acrobat Reader и используемых браузерах.