Буткит

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Буткит (Bootkit) (от англ. boot — загрузка и kit — набор инструментов) — это вредоносная программа (так называемая MBR-руткит), которая осуществляет модификацию загрузочного сектора MBR (Master Boot Record) — первого физического сектора на жёстком диске. (Известный представитель − Backdoor.Win32.Sinowal).

Назначение[править | править вики-текст]

Используется вредоносными программами для получения максимальных привилегий в операционных системах. Буткит может получить права администратора (суперпользователя) и выполнять любые вредоносные действия. Например, он может загрузить в память специальную динамическую библиотеку, которая вообще не существует на диске. Такую библиотеку очень трудно обнаружить обычными методами, используемыми антивирусами.

Способ распространения[править | править вики-текст]

  • Через взломанные сайты, порноресурсы и сайты, с которых можно загрузить нелицензионное ПО. При посещении пользователем зараженной страницы, на компьютере начинает выполняться специальный вредоносный скрипт, который на основании текущей даты, установленной на компьютере, генерирует имя сайта, на который необходимо перенаправить пользователя для получения «персонального» эксплойта.
  • Руткит-технологии.

Заражение[править | править вики-текст]

При запуске, инсталлятор записывает зашифрованное тело буткита в последние сектора жесткого диска, находящиеся за пределами используемого операционной системой дискового пространства. Для обеспечения автозагрузки буткит заражает MBR компьютера, записывая в него свой начальный загрузчик, который до старта операционной системы считывает с диска и разворачивает в памяти основное тело руткита, после чего отдает управление ОС и контролирует процесс (информатика) её загрузки. Буткит можно рассматривать как гибрид между вирусом и типом загрузочного сектора.

Обнаружение и ликвидация[править | править вики-текст]

Семейство данных вредоносных программ ведет себя достаточно скрытно, на зараженной системе его нельзя обнаружить штатными средствами, так как при обращении к зараженным объектам он «подставляет» оригинальные копии. Кроме того, основное тело вредоносной программы (драйвер уровня ядра) не присутствует на файловой системе, а расположено в неиспользованной части диска за границей последнего раздела. Вредоносная программа загружает драйвер самостоятельно, без помощи операционной системы. Сама же операционная система не подозревает о наличии драйвера. Обнаружение и лечение данного буткита является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. Способом борьбы с буткитами является загрузка системы с любого съёмного неинфицированного носителя, чтобы избежать основной загрузки вируса после включения компьютера, и последующая перезапись загрузочного сектора его резервной копией BOOTSECT.BAK, которая всегда находится в корневом каталоге системного тома.

Ссылки[править | править вики-текст]

См. также[править | править вики-текст]