Bootkit

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2014. július 9-én felülvizsgált verziótól ; az ellenőrzések 17 szerkesztést igényelnek .

A Bootkit (az angol boot - download and kit - eszközkészletből) egy rosszindulatú program (az úgynevezett MBR rootkit ), amely módosítja az MBR ( Master Boot Record ) rendszerindító szektort - a merevlemez első fizikai szektorát. (Egy jól ismert képviselője a Backdoor.Win32.Sinowal ).

Időpont

Rosszindulatú programok használják , hogy maximális jogosultságokat szerezzenek az operációs rendszerekben. A bootkit rendszergazdai (szuperfelhasználói) jogokat szerezhet, és bármilyen rosszindulatú műveletet végrehajthat. Például betölthet a memóriába egy speciális dinamikus könyvtárat , amely egyáltalán nem létezik a lemezen . Egy ilyen könyvtárat nagyon nehéz felismerni az antivírusok által használt szokásos módszerekkel .

Elosztási mód

Feltört webhelyeken, pornóforrásokon és olyan webhelyeken keresztül, amelyekről licenc nélküli szoftvereket tölthet le. Amikor egy felhasználó meglátogat egy fertőzött oldalt, egy speciális rosszindulatú szkript futni kezd a számítógépen , amely a számítógépen beállított aktuális dátum alapján generálja annak a webhelynek a nevét, amelyre a felhasználót át kell irányítani, hogy megkapja a "személyes " kihasználni .
Rootkit technológiák .

Fertőzés

Indításkor a telepítő a titkosított indítókészlet törzsét a merevlemez utolsó olyan szektoraiba írja, amelyek kívül esnek az operációs rendszer által használt lemezterületen . Az automatikus betöltés biztosítása érdekében a rendszerindítókészlet megfertőzi a számítógép MBR-jét, beleírja a rendszerbetöltőjét, amely az operációs rendszer elindítása előtt kiolvassa a lemezről, és telepíti a rootkit törzsét a memóriába, majd átadja az irányítást a az operációs rendszert, és vezérli a rendszerindítási folyamatot . A bootkit egy vírus és egyfajta rendszerindító szektor hibridjének tekinthető.

Észlelés és megszüntetés

Ez a rosszindulatú programcsalád meglehetősen titokban viselkedik, fertőzött rendszeren nem észlelhető rendszeres eszközökkel, hiszen a fertőzött objektumokhoz való hozzáféréskor az eredeti példányokat „helyettesíti”. Ezenkívül a rosszindulatú program törzse ( kernel szintű illesztőprogram ) nem található meg a fájlrendszerben , hanem a lemez egy nem használt részén található, az utolsó partíción kívül. A kártevő magától, az operációs rendszer segítsége nélkül tölti be az illesztőprogramot. Maga az operációs rendszer nem gyanakszik illesztőprogram jelenlétére. Ennek a rendszerindító készletnek az észlelése és kezelése a legnehezebb feladat, amellyel a víruskereső iparnak évek óta szembe kellett néznie. A rendszerindító készletek kezelésének módja az, hogy a rendszert minden cserélhető , nem fertőzött adathordozóról indítsa el, hogy elkerülje a vírus fő letöltését a számítógép bekapcsolása után , majd felülírja a rendszerindító szektort a BOOTSECT.BAK biztonsági másolatával , amely mindig a rendszerkötet gyökérkönyvtárában található.

Linkek

Rosszindulatú szoftver
Fertőző rosszindulatú programok	Számítógépes vírus hálózati féreg trójai boot vírus Batch vírus Sztori
Rejtős módszerek	Hátsó ajtó Csöpögtető Könyvjelző Cryptor zombi számítógép Polimorfizmus rootkit
Malware haszonszerzés céljából	Adware Adatvédelmi invazív szoftver Ransomware ( Trojan.Winlock ) Spyware Bot botnet Webes fenyegetések Billentyűzetfigyelő Formgrabber Scareware ( Rogue vírusirtó ) Pornótárcsázó
Operációs rendszerek szerint	Linux malware Vírusok Palm OS-hez Makrovírus mobil vírus
Védelem	Defenzív számítástechnika Víruskereső program Tűzfal Behatolásjelző rendszer Információszivárgás megelőzése Az antivírusok idővonala
Ellenintézkedések	Anti Spyware Coalition számítógépes megfigyelés méztartó Működés: Bot Roast