Mebroot

Mebroot це зловмисне програмне забезпечення, яке належить до родини руткітів, а саме до її підмножини - буткітів. Використовується деякими ботнетами, включно із Torpig.

Корисне навантаження

[ред. | ред. код]

Троянський вірус заражає MBR, щоб дозволити собі запуститися ще до запуску операційної системи. Це дозволяє йому обійти деякі засоби захисту та глибоко вбудуватися в операційну систему. Відомо, що троянець може перехоплювати операції читання/запису, вбудовуватися глибоко в мережеві драйвери. Це дає йому можливість обходити деякі брандмауери та безпечно зв'язуватися, використовуючи спеціальний зашифрований тунель, з командно-контрольним сервером. Це дозволяє зловмиснику встановлювати інші шкідливі програми, віруси або інші додатки. Троян найчастіше краде інформацію з комп'ютера жертви, намагаючись отримати невелику фінансову вигоду.

Mebroot пов'язаний з Anserin - ще одним трояном, який реєструє натискання клавіш та викрадає банківську інформацію. Це є ще одним доказом того, що за Mebroot, швидше за все, стоїть фінансовий мотив.

Виявлення/видалення

[ред. | ред. код]

Троян намагається уникнути виявлення, вбудовуючись у файл atapi.sys. Він також вбудовується у файл Ntoskrnl.exe. Mebroot не має виконуваних файлів, ключів реєстру та модулів драйверів, що ускладнює його виявлення без антивірусного програмного забезпечення. Окрім запуску антивірусного програмного забезпечення, можна також видалити троянця, стерши або відновивши головний завантажувальний запис, жорсткий диск та операційну систему.

Обхід мережевого екрану

[ред. | ред. код]

Руткіт здатен перехоплювати драйвери мережі з метою обходу мережевого екрану.

Зовнішні посилання

[ред. | ред. код]