Как обнаружить заражение 64-битным руткитом Alureon
Alureon, или TDL, TLD3 и Tidserv, — это первый руткит, который может заразить 64-битные ПК с Windows. До этого только 32-битные системы были подвержены воздействию руткитов, и многие пользователи Windows поняли, что в феврале, когда Microsoft исправила MS10-015, зараженные машины отображали синий экран. Очевидно, тогда это была не вина Microsoft, о чем поначалу подозревали как профессионалы, так и пользователи. После некоторых исследований выяснилось, что за такое поведение отвечает руткит TLD3.
С тех пор разработчики руткита значительно улучшили его, добавив возможность заражения 64-битных систем Windows. Это первое, и производители систем безопасности встревожены этой тенденцией.
Однако авторы этих атак не отдыхали. Чуть меньше месяца назад нам стало известно о новом варианте Alureon, который заражает главную загрузочную запись (MBR) вместо зараженного драйвера. Хотя этот новый вариант не повлиял на 64-битные машины, в его виртуальной файловой системе был инертный файл с именем ldr64. Совсем недавно мы обнаружили обновленный вариант, который успешно заражал 64-битные машины под управлением Windows Vista или более поздней версии, при этом 64-битные машины с Windows XP и Server 2003 не загружались.
Многие охранные компании уже добавили обнаружение 64-битного варианта в свои приложения безопасности, Microsoft, например, добавила сигнатуры в Microsoft Security Essentials в начале августа.
Тем не менее, владельцы 64-разрядной версии Windows могут захотеть лично убедиться, что руткит не установлен в их операционной системе. Как следует из приведенной выше информации, владельцы Windows XP и Windows Server 2003 сразу заметят, что что-то не так, так как их операционная система не загрузится. Пользователи 64-разрядной версии Windows Vista или Windows 7 должны читать дальше.
Для этого есть как минимум два варианта, все с инструментами, уже включенными в операционную систему:
Откройте командную строку в Windows-R, введите cmd и введите.
Используйте команду diskpart , чтобы открыть Diskpart в новом окне командной строки.
Войти Лис Дис в новом приглашении, если оно остается пустым, компьютер заражен руткитом. Если диски отображаются, это не так.
Хороший
обнаружение 64-битных руткитов Windows
Плохой
diskpart
Второй вариант обнаружения 64-битного руткита: Запустите «Управление дисками» с панели «Управление компьютером».
Если диски не отображаются, значит, система заражена руткитом. Если показывает диски — все нормально.
Зараженная система
al64-2
Дополнительная информация доступна на сайте Технет а также Symantec.
Как удалить руткит, если система заражена:
Некоторые программы могут удалить руткит и восстановить MBR, чтобы после восстановления система нормально загружалась.
Hitman Pro Beta 112 и более поздние версии могут это сделать, например.