Jak detekovat 64-bitovou infekci Alureon Rootkit

• Kategorie: Software

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Vyberte Operační Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekce (Volitelně) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popište Svůj Problém

Získejte Odpověď

Pošlete Mi E -Mailem Zobrazit Na Webu

Alureon neboli TDL, TLD3 a Tidserv je první rootkit, který může infikovat 64bitové počítače Windows. Předtím byly rootkity ovlivněny pouze 32bitové systémy a mnoho uživatelů systému Windows si uvědomilo, že v únoru, kdy Microsoft patch MS10-015 způsobil infikovaným počítačům zobrazení modré obrazovky. Očividně to nebyla chyba společnosti Microsoft, která byla poprvé převzata profesionály i uživateli. Po nějakém výzkumu se ukázalo, že za toto chování je zodpovědný rootkit TLD3.

Vývojáři rootkitu to od té doby výrazně vylepšili a dokázali přidat schopnost infikovat 64bitové systémy Windows. To je první a prodejci zabezpečení jsou o tomto trendu znepokojeni.

Autoři těchto útoků však neodpočívali. Před necelým měsícem jsme si uvědomili novou variantu Alureonu, která místo infikovaného ovladače infikuje Master Boot Record (MBR). I když tato nová varianta neovlivnila 64bitové počítače, měla jako součást svého virtuálního systému souborů inertní soubor s názvem ldr64. V nedávné době jsme objevili aktualizovanou variantu, která úspěšně infikovala 64bitové počítače se systémem Windows Vista nebo vyšší, zatímco 64bitové počítače se systémem Windows XP a Server 2003 se nepodařilo spustit.

Mnoho bezpečnostních společností již přidalo detekci 64bitové varianty do svých bezpečnostních aplikací, Microsoft například přidal podpisy do Microsoft Security Essentials začátkem srpna.

Přesto si mohou 64bitoví vlastníci Windows chtít sami ověřit, že rootkit není nainstalován v jejich operačním systému. Jak výše uvedené informace naznačují, majitelé systémů Windows XP a Windows Server 2003 si okamžitě všimnou, že něco není v pořádku, protože jejich operační systém se nepodaří spustit. Uživatelé systému Windows Vista nebo Windows 7 by měli číst dál.

Existují přinejmenším dvě možnosti, všechny s nástroji již zahrnutými v operačním systému:

Otevřete příkazový řádek pomocí Windows-R, zadejte cmd a zadejte.

Použijte příkaz diskpart otevřete Diskpart v novém okně příkazového řádku.

Vstoupit číst říkat v novém řádku, pokud zůstane prázdný, počítač je infikován rootkitem. Pokud se disky zobrazí, není.

Dobrý

Špatný

Druhá možnost detekce 64bitového rootkitu je následující: Spusťte Správa disků v podokně Správa počítače.

Pokud se nezobrazí disky, znamená to, že systém je infikován rootkitem. Pokud ukazuje disky, vše je v pořádku.

Infikovaný systém

Další informace jsou k dispozici na adrese Technet a Symantec .

Jak odebrat rootkit, pokud je systém infikován:

Několik programů dokáže odstranit rootkit a opravit MBR tak, aby se systém po opravě normálně bootoval.

Hitman Pro Beta 112 a novější to může udělat například.