Лаборатория Касперского рассказала о новом варианте буткита

Александр Панасенко 15 Мая 2009 - 11:36

...

Новая версия буткита, обнаруженная в конце марта, распространяется через взломанные сайты, порноресурсы и сайты, с которых можно загрузить пиратское ПО. Практически все серверы, участвующие в процессе заражения пользователей, имеют «русскоязычный» след: работают в рамках так называемых «партнерских программ» - схем взаимодействия между владельцами сайтов и авторами вредоносных программ.

К относительно новым технологиям можно отнести механизм создания доменного имени сайта, с которого будут распространятся эксплойты. Этот метод делает практически невозможным применение «черных» списков для блокирования доступа к сайтам с эксплойтами.

Буткит, как и прежде, использует способ, основанный на заражении MBR, для того, чтобы загрузить свой драйвер во время старта операционной системы. Но по сравнению с предыдущими версиями, задействованы более продвинутые технологии сокрытия присутствия в системе. Существенные изменение претерпел код драйвера. Большинство ключевых функций, устанавливающих перехваты системных функций ОС или являющихся перехватами, морфированы, что заметно усложняет процедуру анализа вредоносного кода.

Из сравнения показателей обнаружения буткита продуктами антивирусных компаний следует, что при очередном изменении злоумышленниками алгоритма создания имени домена и методов упаковки эксплойтов с телом буткита, ни один из них не сможет остановить проникновение буткита на компьютер и после этого оперативно вылечить зараженную систему.

«Лаборатория Касперского», обеспечивает надежную защиту своих пользователей от новой модификации буткита на всех этапах его работы. При посещении зараженной страницы Kaspersky Internet Security блокирует доступ к генерируемому имени сайта для загрузки эксплойта, скрипты для создания и загрузки эксплойтов и самые опасные и актуальные эксплойты.

Работа последней модификации буткита демонстрирует необходимость улучшения существующих антивирусных технологий, способных эффективно противодействовать не только попыткам заражения компьютеров, но и обнаруживать сложнейшие угрозы, действующие в операционной системе на самом «глубоком» уровне.

Источник

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 02 Декабря 2025 - 16:41

Общее Системы аутентификации

Рег.ру запустил идентификацию владельцев сайтов через Госуслуги

Российский регистратор доменов и хостинг-провайдер Рег.ру реализовал новую опцию для клиентов — возможность подтверждения личности через ЕСИА, с помощью верифицированной учетной записи на Госуслугах.

Проходить процедуру идентификации владельцы сайтов в зоне RU обязаны по закону. Ранее с этой целью клиенты Рег.ру использовали СБП, банковские карты, телефонную связь; нововведение призвано повысить удобство и безопасность.

Авторы разработки заверяют, что новая опция обеспечит быстрый и надежный доступ к управлению сайтами, серверами, имейл, хостингом и облачной инфраструктурой.

Идентификация через ЕСИА на Госуслугах доступна без ограничений физлицам – пользователям хостинг-услуг компании (VPS, Рег.облако, виртуальный хостинг, выделенные серверы, и проч.).

«Развитие инструментов идентификации владельцев хостинга является важным шагом по повышению безопасности рунета, отметил директор Рег.ру по вопросам ИБ Сергей Журило. — Последовательные шаги по повышению достоверности данных администраторов хостинга и доменов приведут к значимому снижению использования российской интернет-инфраструктуры для совершения противоправных действий».

Лаборатория Касперского рассказала о новом варианте буткита

Читайте также