Bootkit

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 9. července 2014; kontroly vyžadují 17 úprav .

Bootkit (z anglického boot - download and kit - sada nástrojů) je škodlivý program (tzv. MBR rootkit ), který upravuje zaváděcí sektor MBR ( Master Boot Record ) - první fyzický sektor na pevném disku. (Známým zástupcem je Backdoor.Win32.Sinowal ).

Schůzka

Používá se malwarem k získání maximálních oprávnění v operačních systémech. Bootkit může získat práva správce (superuživatele) a provádět jakékoli škodlivé akce. Například může načíst do paměti speciální dynamickou knihovnu , která na disku vůbec neexistuje . Takovou knihovnu je velmi obtížné odhalit běžnými metodami používanými antiviry .

Způsob distribuce

Prostřednictvím napadených stránek, porno zdrojů a stránek, ze kterých si můžete stáhnout nelicencovaný software. Když uživatel navštíví infikovanou stránku, spustí se na počítači speciální škodlivý skript , který na základě aktuálního data nastaveného na počítači vygeneruje název webu, na který musí být uživatel přesměrován, aby obdržel „osobní „ využít .
Rootkitové technologie .

Nákaza

Po spuštění instalační program zapíše zašifrované tělo bootkitu do posledních sektorů pevného disku, které jsou mimo diskový prostor využívaný operačním systémem . Aby bylo zajištěno automatické načítání, bootkit infikuje MBR počítače, zapíše do něj svůj bootloader, který před spuštěním operačního systému načte z disku a rozmístí hlavní tělo rootkitu v paměti, načež předá řízení OS a řídí proces spouštění . Bootkit lze považovat za hybrid mezi virem a typem zaváděcího sektoru.

Detekce a eliminace

Tato rodina škodlivých programů se chová zcela skrytě, nelze ji na infikovaném systému běžnými prostředky detekovat, protože při přístupu k infikovaným objektům „nahrazuje“ původní kopie. Kromě toho hlavní část malwaru ( ovladač na úrovni jádra ) není přítomna v systému souborů , ale je umístěna v nepoužívané části disku mimo poslední oddíl. Malware načte ovladač sám, bez pomoci operačního systému. Samotný operační systém nemá podezření na přítomnost ovladače. Detekce a ošetření tohoto bootkitu je nejobtížnějším úkolem, kterému antivirový průmysl musel čelit již několik let. Způsob, jak se vypořádat s bootkity, je zavést systém z jakéhokoli vyměnitelného neinfikovaného média, aby se zabránilo hlavnímu stahování viru po zapnutí počítače , a poté přepsat zaváděcí sektor jeho záložní kopií BOOTSECT.BAK , což je vždy umístěn v kořenovém adresáři systémového svazku.

Odkazy

Bootkit – Knowledge Base (nedostupný odkaz)
Bootkit na AntiGad.ru
Backdoor.Win32.Sinoval
Kaspersky Lab: dezinfekce infikovaného systému z bootkitu pomocí nástroje TDSSKiller
Kaspersky Lab publikuje analytický článek "Bootkit 2009" Threat News (15.05.2009)

Škodlivý software
Infekční malware	Počítačový virus síťový červ trojský boot virus Dávkový virus Příběh
Metody skrývání	Zadní dveře Kapátko Záložka do knihy Kryptor zombie počítač Polymorfismus rootkit
Malware pro zisk	Adware Software narušující soukromí Ransomware ( Trojan.Winlock ) Spyware Bot Botnet Webové hrozby Keylogger Formgrabber Scareware ( Rogue antivirus ) Porno vytáčení
Podle operačních systémů	Linuxový malware Viry pro Palm OS Makrovirus mobilní virus
Ochrana	Defenzivní počítání Antivirový program Firewall Systém detekce narušení Prevence úniku informací Časová osa antivirů
Protiopatření	Anti Spyware koalice počítačový dohled hrnec medu Operace: Bot Roast