AM_Bot

Антируткит Vba32Arkit успешно справляется с новой версией VBR-руткита семейства Mayachok

В этой теме 1 сообщение

В январе мы сообщали о выпуске бета-версии Vba32 AntiRootkit 3.12.5.6, в которой была добавлена возможность анализа и восстановления загрузочных секторов логических дисков NTFS (в том числе и с использованием антивирусного ядра Vba32).

Данный функционал наряду с применением библиотеки низкоуровневого доступа к диску позволил одними из первых успешно детектировать и лечить новую модификацию Trojan.Mayachok. 

«Обнаружился семпл, который неожиданно оказался реинкарнацией уже немного подзабытого VBR-руткита Trojan.Mayachok.2 (Rootkit.Boot.Cidox.b*). Подзабытого хотя бы на фоне развязавшегося мешка с «безруткитным» Trojan.Mayachok.1», – сообщил Михаил Касимов, независимый исследователь и активный бета-тестер продукта Vba32 AntiRootkit, на
форуме Anti-Malware
.

image001.png

В отличие от предшественников, эта модификация имеет полиморфный распаковщик, а также осуществляет перехваты для блокировки возможности восстановления оригинального загрузочного кода.

Кроме того, новую версию Mayachok.2 (Rootkit.Boot.Cidox.B) отличает наличие IRP-перехвата IRP_MJ_INTERNAL_DEVICE_CONTROL.

image004.gif

14 февраля были выпущены обновленные базы с детектом загрузочных секторов Rootkit.Cidox.b.

image005.png

Лечение осуществляется с помощью команды «Restore VBR and Force Reboot».

image007.png

* По классификации компании ВирусБлокАда

Подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Лола
      Я сижу с прокси-сервером https://advanced.name/.../u5 При помощи такого быстрого прокси-сервера страницы стали загружаться с одного клика, а заблокированные сайты стали доступными.
    • PR55.RP55
      1) Чаще всего такое сообщение появляется, если не верно установлено системное время. Если на PC 2025 год то самые актуальные обновления будут устаревшими. 2) Malwarebytes при наличие в системе антивируса _нужно устанавливать в режиме сканера. т.е. с отключённой защитой в реальном времени - во избежание конфликта. ---------- Форум: anti-malware.ru практически склеил ласты. Хотите получить ответ пишите на:  comss.ru
    • ratus
      Доброго времени суток! У меня следующая проблема. На информационной панели malwarebytes Следующие сообщение: "Ваши обновления не являются актуальными", При этом, с интернетом все в порядке Не помогает и обновление при помощи скаченных в ручную баз. Я подозреваю, что это могло произойти из-за установки антивируса поверх уже существующего. Но после последнего описанного события я переустановил программу корректно. Может причина в том, что антивирус не обновлен до premium версии.  
    • AM_Bot
      Алексей Андрияшин, технический директор Fortinet в России, поделился своим взглядом на тенденции информационной безопасности, а также рассказал, как защищать организацию с помощью экосистемы Fortinet. Читать далее
    • Ego Dekker
      Антивирусы были обновлены до версии 10.1.245.1.