カスペルスキーはユニークなMBRルートキットを無効にしました

カスペルスキーは、ユニークなMBRルートキットの新しいバージョンの検出と処理を発表しました。

画像

Sinowalマルウェアの新しいバージョンは、ハードディスクのマスターブートレコード(MBR、マスターブートレコード)に感染することでシステム内に存在を隠す機能を備えており、2009年3月下旬に同社の専門家によって検出されました。



研究者によると、ルートキットの新しいバージョンは彼らにとって本当に驚きでした。 以前のバージョンとは異なり、新しいBackdoor.Win32.Sinowalの変更は、システムでのより深いレベルの実装を使用して、その検出を防ぎます。 このバージョンで実装された隠蔽方法は、デバイスオブジェクトのレベルでインターセプトを使用します。これは、オペレーティングシステムの最も「最も深い」レベルの操作です。 攻撃者は、これまでこのような高度な技術に頼ったことがありません。 このため、Sinowalの新しい変更の時点で既存のウイルス対策製品はどれも、影響を受けるコンピューターBackdoor.Win32.Sinowalを修復するだけでなく、問題を検出することさえできませんでした。 システムに侵入した後、ブートキットは、ユーザーとそのさまざまなアカウントの個人データの盗難に焦点を当てたメインモジュールの隠された操作を提供します。



Kaspersky Labによると、Neosploit脆弱性セットを使用する多くの悪意のあるサイトから、この1か月間にブートキットが積極的に配布されています。 システムに侵入する主な方法の1つは、Adobe Acrobat Readerの脆弱性を使用して、ユーザーの知らないうちにダウンロードされた悪意のあるPDFファイルを実行することです。



まだインターネット上で配布されているこのブートキットの検出と処理は、アンチウイルス業界の専門家が数年間対処しなければならなかったすべての中で最も難しいタスクです。 カスペルスキーは、既存の個人用アンチウイルスソリューションに検出だけでなく、このSinowalオプションの成功した処理を実装した主要なアンチウイルス企業の最初の1つです。



コンピューターの感染をチェックするには、パーソナル製品のユーザーは、ウイルス対策データベースを更新し、システム全体のスキャンを実行する必要があります。 治療中にブートキットが検出された場合、コンピューターの再起動が必要になります。



また、カスペルスキーの専門家は、すべてのユーザーが必要なパッチをインストールして、Acrobat Readerおよび使用するブラウザーの脆弱性をカバーすることを推奨しています。



securitylabからのニュース




All Articles