بوت‌کیت خطرناک مخفیانه در حال گسترش

[shahmoradi]

این روتکیت موقعیت هندسهٔ درایو دیسک آلوده را دریافت کرده سپس موقعیت نزدیک به انتهای پارتیشن را برای ذخیره MBR اولیه و دیگر اجزای سخت‌افزاری را محاسبه می‌نماید. این اجزا و پیمانه‌ها در بخش تخصیص نیافته پارتیشن نوشته می‌شوند، و در مواردی که دیسک پر شده باشد امکان رونویسی با داده‌های دیگر وجود دارد.

MBR اولیه و اجزای درایور به صورت رمزشده با استفاده از همان متد رمزنگاری ذخیره شده‌اند. کامپوننت درایو، بخش DriverStartIo متعلق به ATAPI جایی که عملیات نوشتن را رصد می‌کند، را هوک می‌کند. در مواردی که عملیات نوشتن قصد نوشتن در سکتور بوت رکورد اصلی (MBR) را دارد، روتکیت، عملیات نوشتن را تغییر می‌دهد. این روش با استفاده از محصولات امنیتی، عملیات تعمیر را دور می‌زند.

مکانیزم محافظتی MBR قبلاً در TDSS مشاهده شد. TDL۴ در پایین پشته ذخیره‌سازی برای نظارت بر عملیات خواندن و نوشتن در اولین سکتور قرار دارد و اجزای رمزنگاری شدهٔ آن در فضای پارتیشن نشدهٔ دیسک مستقر می‌باشند.

این بدافزار مرورگرهای پرطرفدار را برای تزریق کد و افزودن قابلیت تبلیغات کلیکی برای کسب منافع مالی هدف قرار داده است. روتیکیت مذکور اطلاعات تبلیغات کلیک شده را در یک فایل INI ذخیره می‌کند.

برخی نرم‌افزارهای امنیتی آلودگی MBR را با عنواینی نظیر: Trojan: DOS/Popureb. B و بدافزار بوت‌کیت را با عنوان Trojan: Win۳۲/Popureb. E شناسایی می‌کنند. برخی از مقالات منتشر شده درباره این روتکیت پیشنهاد حذف و نصب مجدد ویندوز را برای حذف این بدافزار می‌دهند.

کاربران کوییک‌هیل می‌توانند از ابزار BootKitRemover برای شناسایی و پاکسازی این بوت‌کیت استفاده نمایند. برای تکمیل فرایند ترمیم نیاز به راه‌اندازی مجدد سیستم می‌باشد.