Як виявити 64-бітну інфекцію Rootkit Alureon

• Категорія: Програмне Забезпечення

Спробуйте Наш Інструмент Для Усунення Проблем

Виберіть Операційну Систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Виберіть Програму Проекції (Необов'Язково) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишіть Свою Проблему

Отримати Відповідь

Надіслати Мене Електронною Поштою Показати На Сайті

Alureon, або TDL, TLD3 і Tidserv, є першим руткітом, який може заразити 64-бітні ПК з Windows. До цього руткітами постраждали лише 32-бітні системи, і багато користувачів Windows зрозуміли, що в лютому, коли патч Microsoft MS10-015 викликав інфіковані машини на блакитному екрані. Очевидно, що тоді Microsoft не був винним, що вперше припускали як професіонали, так і користувачі. Після деяких досліджень виявилося, що руткіт TLD3 відповідав за таку поведінку.

Розробники руткіту значно покращили його з того часу і їм вдалося додати можливість заразити 64-бітні системи Windows. Це по-перше, і постачальники безпеки насторожують цю тенденцію.

Однак автори цих нападів не відпочивали. Трохи менше місяця тому нам стало відомо про новий варіант Alureon, який заражає Master Boot Record (MBR) замість зараженого драйвера. Хоча цей новий варіант не впливав на 64-розрядні машини, він мав інертний файл під назвою ldr64 як частина його віртуальної файлової системи. Зовсім недавно ми виявили оновлений варіант, який успішно заразив 64-бітні машини, що працюють під управлінням Windows Vista або новіших версій, одночасно вивільняючи 64-розрядні машини Windows XP та Server 2003, не можна перезавантажити.

Наприклад, багато охоронних компаній додали виявлення 64-бітного варіанта до своїх програм безпеки, наприклад, Microsoft додала підписи до Microsoft Security Essentials на початку серпня.

Тим не менш, власники 64-бітних Windows, можливо, захочуть переконатися, що руткіт не встановлений у їх операційній системі. Як свідчить інформація вище, власники Windows XP та Windows Server 2003 негайно помітять, що щось не так, оскільки їх операційна система не зможе завантажитися. 64-розрядні користувачі Windows Vista або Windows 7 повинні читати далі.

Для цього є щонайменше два варіанти, все з інструментами, які вже включені в операційну систему:

Відкрийте командний рядок, за допомогою Windows-R, введіть cmd та введіть.

Використовуйте команду дискпарт щоб відкрити Diskpart у новому вікні командного рядка.

Введіть читати сказати у новому запиті, якщо він залишається порожнім, комп'ютер заражається руткітом. Якщо диски відображаються, це не так.

Добре

Поганий

Другий варіант виявлення 64-розрядного руткіта полягає в наступному: Запустіть управління дисками з області управління комп'ютером.

Якщо він не показує диски, це означає, що система заражена руткітом. Якщо він показує диски, все добре.

Інфікована система

Додаткову інформацію можна отримати за адресою Technet і Symantec .

Як видалити Rootkit, якщо система заражена:

Кілька програм здатні видалити руткіт та відновити MBR, щоб система нормально завантажувалася після ремонту.

Наприклад, Hitman Pro Beta 112 і пізніші версії можуть це зробити.