Как обнаружить заражение 64-битным руткитом Alureon

Alureon, или TDL, TLD3 и Tidserv, — это первый руткит, который может заразить 64-битные ПК с Windows. До этого только 32-битные системы были подвержены воздействию руткитов, и многие пользователи Windows поняли, что в феврале, когда Microsoft исправила MS10-015, зараженные машины отображали синий экран. Очевидно, тогда это была не вина Microsoft, о чем поначалу подозревали как профессионалы, так и пользователи. После некоторых исследований выяснилось, что за такое поведение отвечает руткит TLD3.

С тех пор разработчики руткита значительно улучшили его, добавив возможность заражения 64-битных систем Windows. Это первое, и производители систем безопасности встревожены этой тенденцией.

Однако авторы этих атак не отдыхали. Чуть меньше месяца назад нам стало известно о новом варианте Alureon, который заражает главную загрузочную запись (MBR) вместо зараженного драйвера. Хотя этот новый вариант не повлиял на 64-битные машины, в его виртуальной файловой системе был инертный файл с именем ldr64. Совсем недавно мы обнаружили обновленный вариант, который успешно заражал 64-битные машины под управлением Windows Vista или более поздней версии, при этом 64-битные машины с Windows XP и Server 2003 не загружались.

Многие охранные компании уже добавили обнаружение 64-битного варианта в свои приложения безопасности, Microsoft, например, добавила сигнатуры в Microsoft Security Essentials в начале августа.

Тем не менее, владельцы 64-разрядной версии Windows могут захотеть лично убедиться, что руткит не установлен в их операционной системе. Как следует из приведенной выше информации, владельцы Windows XP и Windows Server 2003 сразу заметят, что что-то не так, так как их операционная система не загрузится. Пользователи 64-разрядной версии Windows Vista или Windows 7 должны читать дальше.

Для этого есть как минимум два варианта, все с инструментами, уже включенными в операционную систему:

Откройте командную строку в Windows-R, введите cmd и введите.

Используйте команду diskpart , чтобы открыть Diskpart в новом окне командной строки.

Войти Лис Дис в новом приглашении, если оно остается пустым, компьютер заражен руткитом. Если диски отображаются, это не так.

Хороший

обнаружение 64-битных руткитов Windowsобнаружение 64-битных руткитов Windows

Плохой

diskpartdiskpart

Второй вариант обнаружения 64-битного руткита: Запустите «Управление дисками» с панели «Управление компьютером».

Если диски не отображаются, значит, система заражена руткитом. Если показывает диски — все нормально.

Зараженная система

al64-2al64-2

Дополнительная информация доступна на сайте Технет а также Symantec.

Как удалить руткит, если система заражена:

Некоторые программы могут удалить руткит и восстановить MBR, чтобы после восстановления система нормально загружалась.

Hitman Pro Beta 112 и более поздние версии могут это сделать, например.