"Popureb" rootkit - nowa odmiana - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Inne (https://safegroup.pl/forum-15.html) +--- Wątek: "Popureb" rootkit - nowa odmiana (/thread-3135.html) |
"Popureb" rootkit - nowa odmiana - ichito - 04.07.2011 Microsoft poinformował o wykryciu nowej wersji rootkita Popureb(Win32/Popureb.E)...w przeciwieństwie do innych wersji tej infekcji, najnowszy wariant okazuje się mieć inny charakter. Rootkit nadpisuje MBR dzięki temu staje się praktycznie nieusuwalny przez żadne narzędzia z poziomu systemu...nie usuwa go nawet formatowanie dysku, ponieważ ładowane są przez BIOS do pamięci przed załadowaniem systemu plików . Po załadowaniu tak zainfekowanego systemu, trojan jest niewidoczny przez system, a programy anty-malware pomimo wykrycia go i przeprowadzonego leczenia nie są go w stanie w rzeczywistości usunąć, gdyż Popureb nie zezwala na zapisywanie danych na dysku , tym samym zmiany dokonane przez program AV podczas czyszczenia z infekcji nie są skuteczne. Jedyną jak do tej pory skuteczną metodą jest naprawienie sektora rozruchowego MBR po czym próba przywrócenia systemu z poziomu konsoli odzyskiwania. Win32/Popureb.E wykrywany jest przez większość programów, a listę nazw pod jakimi jest wykrywany możemy znaleźć np. na VirusTotal (dane pochodzą z 28 czerwca, sądzić więc można że wszystkie skanery już wykrywają tę infekcję) [Aby zobaczyć linki, zarejestruj się tutaj] Źródło informacji[Aby zobaczyć linki, zarejestruj się tutaj] Inne szczegółowe artykuły na ten temat[Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] -------------------------Jest dyskusja na Wildersach na ten temat [Aby zobaczyć linki, zarejestruj się tutaj] ...i tu uaktualnienie - okazuje się, że infekcja jednak nie wymaga reinstalacji systemu[Aby zobaczyć linki, zarejestruj się tutaj] a najnowsze wersja Hitman Pro pozwala na usunięcie rootkita z poziomu systemu"The latest release of Hitman Pro 3.5.9 – build 126 – will remove the infamous Trojan “Popureb” without the need to reinstall the operating systemas previously advised by Microsoft.(...) Build 126 of Hitman Pro 3.5 contains a new Tool Action: Replace with standard MBR.This new action offers users a means to overwrite a non-standard MBR with a standard MBR returning it to a clean state. This new Tool Action is only available to users when scanning a system with Hitman Pro in Early Warning Scoring (EWS) mode. Users do not need to use the Windows Recovery Console to return the MBR to a clean state." [Aby zobaczyć linki, zarejestruj się tutaj] Re: "Popureb" rootkit - nowa odmiana - KaMiL - 04.07.2011 Hoho, ostro pojechali, nie ma co. Powiem tylko, że nie chciałbym go złapać... Re: "Popureb" rootkit - nowa odmiana - Eru - 04.07.2011 Bez przesady - wystarczy, że ktoś zrobił sobie kopię MBR''a z poziomu bootowalnego CD/DVD/USB i nie powinno być problemów - po prostu wystarczyłaby podmiana MBR''a w przypadku infekcji - Hitman w wersji 126 też tak będzie robił Poza tym takie ciekawostki znalazłem o nim: Cytat: Popureb does not run properly on Windows XP with SP3 installed (maybe that other service packs don''t work either). Re: "Popureb" rootkit - nowa odmiana - virugen - 04.07.2011 Tu macie do pobrania - [Aby zobaczyć linki, zarejestruj się tutaj] A tu jak to wygląda w "praktyce" -[Aby zobaczyć linki, zarejestruj się tutaj] Re: "Popureb" rootkit - nowa odmiana - Eru - 04.07.2011 virugen napisał(a):A tu jak to wygląda w "praktyce" Tak z tym wyjątkiem, że jak masz Win XP SP3 to nic nie zrobi bo się nawet nie uruchomi Więc dla Visty i Win7 też jest niegroźny Re: "Popureb" rootkit - nowa odmiana - virugen - 04.07.2011 Prawdę mówiąc szkoda . |