Annuncio pubblicitario
La minaccia di raccogliere un virus è molto reale. L'onnipresenza delle forze invisibili che lavorano per attaccare i nostri computer, per rubare le nostre identità e razziare i nostri conti bancari è una costante, ma speriamo che con giusta quantità di nous tecnico I 5 migliori dischi di salvataggio e ripristino per un ripristino del sistema di WindowsEcco i migliori dischi di ripristino di Windows per aiutarti ad accedere al tuo computer per effettuare riparazioni e backup, anche quando non si avvia. Leggi di più e un pizzico di fortuna, tutto andrà bene.
Tuttavia, tanto avanzato quanto l'antivirus e altri software di sicurezza, i potenziali aggressori continuano a trovare nuovi vizi diabolici per interrompere il sistema. Il bootkit è uno di questi. Sebbene non sia del tutto nuovo sulla scena del malware, c'è stato un aumento generale nel loro utilizzo e una netta intensificazione delle loro capacità.
Diamo un'occhiata a cos'è un bootkit, esaminiamo una variante del bootkit, Nemesis e
considera cosa puoi fare per essere chiaro 10 passi da fare quando scopri malware sul tuo computerVorremmo pensare che Internet sia un posto sicuro dove trascorrere il nostro tempo (tosse), ma sappiamo tutti che ci sono rischi dietro ogni angolo. Email, social media, siti Web dannosi che hanno funzionato ... Leggi di più .Che cos'è un Bootkit?
Per capire cos'è un bootkit, spiegheremo innanzitutto da dove proviene la terminologia. Un bootkit è una variante di un rootkit, un tipo di malware con la capacità di nascondersi dal sistema operativo e dal software antivirus. I rootkit sono notoriamente difficili da rilevare e rimuovere. Ogni volta che avvii il tuo sistema, il rootkit garantirà a un utente malintenzionato un accesso continuo a livello di root al sistema.
Un rootkit può essere installato per qualsiasi numero di motivi. A volte il rootkit verrà utilizzato per installare più malware, a volte verrà utilizzato per creare un computer "zombi" all'interno di una botnet Come può un attacco DoS abbattere Twitter? [Spiegazione della tecnologia] Leggi di più , può essere utilizzato per rubare chiavi di crittografia e password o una combinazione di questi e altri vettori di attacco.
I rootkit a livello di bootloader (bootkit) sostituiscono o modificano il boot loader legittimo con uno dei design dei suoi aggressori, influenzando il Master Boot Record, il Volume Boot Record o altri settori di avvio. Ciò significa che l'infezione può essere caricata prima del sistema operativo e quindi può sovvertire qualsiasi programma di rilevamento e distruzione.
Il loro uso è in aumento e gli esperti di sicurezza hanno notato una serie di attacchi incentrati sui servizi monetari, di cui "Nemesis" è uno degli ecosistemi di malware osservati più di recente.
Una nemesi della sicurezza?
No, non a Star Trek film, ma una variante particolarmente brutta del bootkit. L'ecosistema malware Nemesis è dotato di una vasta gamma di capacità di attacco, tra cui trasferimenti di file, acquisizione di schermate, registrazione dei tasti, iniezione di processo, manipolazione di processi e pianificazione delle attività. FireEye, la società di sicurezza informatica che per prima ha scoperto Nemesis, ha anche indicato che il malware include un sistema completo di supporto backdoor per una vasta gamma di protocolli di rete e canali di comunicazione, consentendo una volta maggiore comando e controllo installato.
In un sistema Windows, il Master Boot Record (MBR) memorizza le informazioni relative al disco, come il numero e il layout delle partizioni. L'MBR è vitale per il processo di avvio, contenente il codice che individua la partizione primaria attiva. Una volta trovato questo, il controllo viene passato al Volume Boot Record (VBR) che risiede sul primo settore della singola partizione.
Il bootkit Nemesis dirige questo processo. Il malware crea un file system virtuale personalizzato per archiviare i componenti Nemesis nello spazio non allocato tra partizioni, dirottando il VBR originale sovrascrivendo il codice originale con il proprio, in un sistema doppiato “BOOTRASH.”
“Prima dell'installazione, il programma di installazione di BOOTRASH raccoglie le statistiche sul sistema, inclusa la versione e l'architettura del sistema operativo. Il programma di installazione è in grado di distribuire versioni a 32 o 64 bit dei componenti Nemesis a seconda dell'architettura del processore del sistema. Il programma di installazione installerà il bootkit su qualsiasi disco rigido che abbia una partizione di avvio MBR, indipendentemente dal tipo specifico di disco rigido. Tuttavia, se la partizione utilizza l'architettura del disco della tabella delle partizioni GUID, diversamente dallo schema di partizionamento MBR, il malware non continuerà con il processo di installazione. "
Quindi, ogni volta che viene chiamata la partizione, il codice dannoso inietta i componenti Nemesis in attesa in Windows. Di conseguenza, "La posizione di installazione del malware significa che persisterà anche dopo aver reinstallato il sistema operativo sistema, ampiamente considerato il modo più efficace per sradicare il malware ", lasciando una lotta in salita per una pulizia sistema.
Stranamente, l'ecosistema malware Nemesis include la propria funzionalità di disinstallazione. Ciò ripristinerebbe il settore di avvio originale e rimuoverà il malware dal sistema, ma è presente solo nel caso in cui gli aggressori debbano rimuovere il malware di propria iniziativa.
Avvio protetto UEFI
Il bootkit di Nemesis ha influenzato in larga misura le organizzazioni finanziarie al fine di raccogliere dati e sottrarre fondi. Il loro utilizzo non sorprende l'ingegnere senior del marketing tecnico Intel, Brian Richardson, Oms Appunti "Bootkit e rootkit di MBR sono stati un vettore di attacco di virus sin dai tempi di" Inserisci disco in A: e premi INVIO per continuare. " È andato Spiega che mentre Nemesis è senza dubbio un pezzo di malware enormemente pericoloso, potrebbe non influenzare il tuo sistema domestico così facilmente.
I sistemi Windows creati negli ultimi anni saranno probabilmente stati formattati utilizzando una tabella delle partizioni GUID, con il firmware sottostante basato su UEFI Cos'è UEFI e come ti mantiene più sicuro?Se hai avviato di recente il tuo PC potresti aver notato l'acronimo "UEFI" anziché BIOS. Ma cos'è UEFI? Leggi di più . La parte di creazione del file system virtuale BOOTRASH del malware si basa su un interrupt del disco legacy che non esiste sui sistemi che si avviano con UEFI, mentre il controllo della firma di avvio protetto UEFI bloccherebbe un bootkit durante l'avvio processi.
Quindi quei sistemi più recenti preinstallati con Windows 8 o Windows 10 potrebbero essere assolti da questa minaccia, almeno per ora. Tuttavia, illustra un grosso problema con le grandi aziende che non riescono ad aggiornare il proprio hardware IT. Quelle aziende usano ancora Windows 7 e in molti luoghi ancora utilizzando Windows XP, stanno esponendo se stessi e i loro clienti a grave minaccia finanziaria e di dati Perché le aziende che mantengono segrete le violazioni potrebbero essere una buona cosaCon così tante informazioni online, siamo tutti preoccupati per potenziali violazioni della sicurezza. Ma queste violazioni potrebbero essere tenute segrete negli Stati Uniti per proteggerti. Sembra folle, quindi cosa sta succedendo? Leggi di più .
Il veleno, il rimedio
I rootkit sono operatori complicati. Maestri dell'offuscamento, sono progettati per controllare un sistema il più a lungo possibile, raccogliendo quante più informazioni possibili durante quel periodo. Le aziende antivirus e antimalware hanno preso atto e un certo numero di rootkit le applicazioni di rimozione sono ora disponibili per gli utenti La guida completa alla rimozione di malwareIl malware è ovunque in questi giorni e l'eradicazione del malware dal sistema è un processo lungo, che richiede una guida. Se ritieni che il tuo computer sia infetto, questa è la guida di cui hai bisogno. Leggi di più :
- Malwarebytes Anti-Rootkit Beta
- Kaspersky Lab TDSSKiller
- Avast aswMBR
- Bitdefender Anti-Rootkit
- GMER - applicazione avanzata che richiede la rimozione manuale
Anche con la possibilità di una rimozione di successo offerta, molti esperti di sicurezza concordano sul fatto che l'unico modo essere sicuri al 99% di un sistema pulito è un formato di unità completo, quindi assicurarsi di mantenere il sistema backup!
Hai mai provato un rootkit o persino un bootkit? Come hai ripulito il tuo sistema? Facci sapere di seguito!
Gavin è Senior Writer per MUO. È anche redattore e SEO Manager del sito gemello focalizzato sulla crittografia di MakeUseOf, Blocks Decoded. Ha una BA (Hons) Contemporary Writing with Digital Art Practices saccheggiata dalle colline del Devon, oltre a oltre un decennio di esperienza professionale nella scrittura. Gli piace abbondanti quantità di tè.