 | Новый руткит можно вывести только переустановкой Windows | |
Безопасность | ||
Microsoft сообщает пользователям ОС Windows о том, что им придется переустановить операционную систему, если они будут инфицированы новым руткитом, который прячется в загрузочном секторе компьютера.... | ||
Microsoft сообщает пользователям ОС Windows о том, что им придется переустановить операционную систему, если они будут инфицированы новым руткитом, который прячется в загрузочном секторе компьютера.
Новый вариант трояна, который Microsoft называет "Popureb", забирается так глубоко в систему, что единственный способ удалить его – вернуть Windows к своей первоначальной заводской конфигурации, написал в блоге Чун Фэн, инженер Microsoft Malware Protection Center (MMPC).
"Если ваша система будет инфицирована трояном Trojan:Win32/Popureb.E, мы советуем исправить главную загрузочную запись (MBR), а затем воспользоваться компакт-диском для восстановления системы и с помощью него восстановить систему к состоянию, в котором она была до того, как была инфицирована", - сказал Фэн.
Такие вредоносные программы, как Popureb, переписывают загрузочную запись (MBR) жесткого диска – первый сектор – место, где хранится код для загрузки операционной системы после того, как BIOS компьютера сделает проверки при запуске. Руткит остается невидимым как для операционной системы, так и для программ, отвечающих за безопасность системы, потому что он прячется в MBR.
Согласно Фэну, Popureb засекает попытки записи, направленные на MBR – например при попытке очистки – и подменяет их на операции чтения.
Хотя покажется, что операция прошла успешно, новые данные на самом деле не появляются на диске. Иными словами, очистка вообще не поможет.
Фэн опубликовал ссылки на инструкции по исправлению основной загрузочной записи для XP, Vista и Windows 7.
