Мейбрут

Mebroot — это руткит на основе главной загрузочной записи , используемый ботнетами , включая Torpig . Это сложный троянский конь, который использует скрытные методы , чтобы скрыть себя от пользователя. Троян открывает черный ход на компьютере жертвы, что позволяет злоумышленнику получить полный контроль над компьютером. ^[1]

Полезная нагрузка

Троян заражает MBR, чтобы запуститься еще до запуска операционной системы. Это позволяет ему обойти некоторые меры безопасности и глубоко внедриться в операционную систему . Известно, что троян может перехватывать операции чтения/записи, глубоко внедриться в сетевые драйверы . Это позволяет ему обходить некоторые брандмауэры и безопасно взаимодействовать с сервером управления и контроля, используя специальный зашифрованный туннель . Это позволяет злоумышленнику устанавливать другие вредоносные программы , вирусы или другие приложения. Чаще всего троян крадет информацию с компьютера жертвы в попытке получить небольшую финансовую выгоду. Mebroot связан с Anserin, еще одним трояном, который регистрирует нажатия клавиш и крадет банковскую информацию. Это дает дополнительные доказательства того, что за Mebroot, скорее всего, стоит финансовый мотив. ^[2]

Обнаружение/удаление

Троян пытается избежать обнаружения, встраиваясь в atapi.sys . ^[3] Он также встраивается в Ntoskrnl.exe . ^[4] Mebroot не имеет исполняемых файлов, ключей реестра и модулей драйверов, что затрудняет его обнаружение без антивирусного программного обеспечения. Помимо запуска антивирусного программного обеспечения, можно также удалить трояна, очистив или восстановив главную загрузочную запись, жесткий диск и операционную систему. ^[5]

Распределение

Было обнаружено три варианта Mebroot. По оценкам, первая версия была скомпилирована в ноябре 2007 года. В декабре Mebroot начал загружать файлы с диска . В начале 2008 года началась вторая волна атак. В феврале 2008 года был обнаружен второй вариант, который сопровождался измененным установщиком. ^[2] В марте 2008 года был обнаружен третий вариант, в котором атаки стали более распространенными. После третьего варианта троян был обновлен, чтобы попытаться перехитрить антивирусное программное обеспечение. Неизвестно, существует ли Mebroot до сих пор. В настоящее время известно ^{[ когда? ],} что Mebroot распространяется путем посещения вредоносных веб-сайтов или с помощью эксплойта приложения . ^[6] По оценкам, было скомпрометировано более 1500 веб-сайтов, в основном в европейском регионе. Трафик на веб-сайты, зараженные Mebroot, может достигать 50 000–100 000 просмотров в день. ^[7]

Ссылки

^ "Symantec". Архивировано из оригинала 11 января 2008 г. Получено 3 апреля 2015 г.
^ ab "Trojan.Mebroot - Symantec". Symantec . Архивировано из оригинала 11 января 2008 г.
^ "Трендмикро" . Проверено 3 апреля 2015 г.
^ "Houston Chronicle" . Получено 3 апреля 2015 г.
^ "UCR" . Получено 3 апреля 2015 г.
^ "Описание Rootkit:Boot/Mebroot". www.f-secure.com .
^ "virusbtn" (PDF) . Получено 3 апреля 2015 г. .

Внешние ссылки

MBR Rootkit, новое поколение вредоносных программ - F-Secure Weblog, март 2008 г.
Stealth MBR руткит от GMER, январь 2008 г.
Технические подробности Trojan.Mebroot | Symantec
От Громозона до Меброота — размышления о руткитах сегодня на Wayback Machine (архив 26 октября 2013 г.)

[1] "Symantec". Архивировано из оригинала 11 января 2008 г. Получено 3 апреля 2015 г.

[Symantec-2] "Trojan.Mebroot - Symantec". Symantec . Архивировано из оригинала 11 января 2008 г.

[3] "Трендмикро" . Проверено 3 апреля 2015 г.

[4] "Houston Chronicle" . Получено 3 апреля 2015 г.

[5] "UCR" . Получено 3 апреля 2015 г.

[6] "Описание Rootkit:Boot/Mebroot". www.f-secure.com .

[7] "virusbtn" (PDF) . Получено 3 апреля 2015 г. .