"Popureb" rootkit - nowa odmiana
#1
Microsoft poinformował o wykryciu nowej wersji rootkita Popureb(Win32/Popureb.E)...w przeciwieństwie do innych wersji tej infekcji, najnowszy wariant okazuje się mieć inny charakter. Rootkit nadpisuje MBR dzięki temu staje się praktycznie nieusuwalny przez żadne narzędzia z poziomu systemu...nie usuwa go nawet formatowanie dysku, ponieważ ładowane są przez BIOS do pamięci przed załadowaniem systemu plików . Po załadowaniu tak zainfekowanego systemu, trojan jest niewidoczny przez system, a programy anty-malware pomimo wykrycia go i przeprowadzonego leczenia nie są go w stanie w rzeczywistości usunąć, gdyż Popureb nie zezwala na zapisywanie danych na dysku , tym samym zmiany dokonane przez program AV podczas czyszczenia z infekcji nie są skuteczne.
Jedyną jak do tej pory skuteczną metodą jest naprawienie sektora rozruchowego MBR po czym próba przywrócenia systemu z poziomu konsoli odzyskiwania.
Win32/Popureb.E wykrywany jest przez większość programów, a listę nazw pod jakimi jest wykrywany możemy znaleźć np. na VirusTotal (dane pochodzą z 28 czerwca, sądzić więc można że wszystkie skanery już wykrywają tę infekcję)

[Aby zobaczyć linki, zarejestruj się tutaj]

Źródło informacji

[Aby zobaczyć linki, zarejestruj się tutaj]

Inne szczegółowe artykuły na ten temat

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

-------------------------
Jest dyskusja na Wildersach na ten temat

[Aby zobaczyć linki, zarejestruj się tutaj]

...i tu uaktualnienie - okazuje się, że infekcja jednak nie wymaga reinstalacji systemu

[Aby zobaczyć linki, zarejestruj się tutaj]

a najnowsze wersja Hitman Pro pozwala na usunięcie rootkita z poziomu systemu
"The latest release of Hitman Pro 3.5.9 – build 126 – will remove the infamous Trojan “Popureb” without the need to reinstall the operating systemas previously advised by Microsoft.(...)
Build 126 of Hitman Pro 3.5 contains a new Tool Action: Replace with standard MBR.This new action offers users a means to overwrite a non-standard MBR with a standard MBR returning it to a clean state. This new Tool Action is only available to users when scanning a system with Hitman Pro in Early Warning Scoring (EWS) mode. Users do not need to use the Windows Recovery Console to return the MBR to a clean state."

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Hoho, ostro pojechali, nie ma co. Powiem tylko, że nie chciałbym go złapać...
Odpowiedz
#3
Bez przesady - wystarczy, że ktoś zrobił sobie kopię MBR''a z poziomu bootowalnego CD/DVD/USB i nie powinno być problemów - po prostu wystarczyłaby podmiana MBR''a w przypadku infekcji - Hitman w wersji 126 też tak będzie robił Grin

Poza tym takie ciekawostki znalazłem o nim:

Cytat: Popureb does not run properly on Windows XP with SP3 installed (maybe that other service packs don''t work either).
Popureb does not run on systems with non-atapi hard disk driver;
See also Marco''s article which is (as always) an excellent run down of the facts. I wish I had his amount of time to spent on a piece of malware.
Popureb does not appear to run on Windows Vista or Windows 7.
Popureb does not run on x64.
Realtime: Sandboxie + Windows Firewall Control + NoVirusThanks EXE Radar Pro
Web browser: Firefox + Ghostery + NoScript
Password Manager: S10 Password Vault PL
Recovery: Rollback Rx
Odpowiedz
#4
Tu macie do pobrania -

[Aby zobaczyć linki, zarejestruj się tutaj]

A tu jak to wygląda w "praktyce" -

[Aby zobaczyć linki, zarejestruj się tutaj]

Avast! Internet Security 6 + Emsisoft Mamutu 3 + Hitman Pro 3.5 (On-Demand)

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#5
virugen napisał(a):A tu jak to wygląda w "praktyce"


Tak z tym wyjątkiem, że jak masz Win XP SP3 to nic nie zrobi bo się nawet nie uruchomi Tongue
Więc dla Visty i Win7 też jest niegroźny Grin
Realtime: Sandboxie + Windows Firewall Control + NoVirusThanks EXE Radar Pro
Web browser: Firefox + Ghostery + NoScript
Password Manager: S10 Password Vault PL
Recovery: Rollback Rx
Odpowiedz
#6
Prawdę mówiąc szkoda Grin .
Avast! Internet Security 6 + Emsisoft Mamutu 3 + Hitman Pro 3.5 (On-Demand)

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości