Тысячи веб-сайтов не по своей волe оказались вовлечены в распространение новой, более изощренной версии известного руткита (rootkit) под кодовым названием
Mebroot. Вирус распространяется через зараженные сайты с помощью известных уязвимостей в браузерах через механизм скрытой загрузки «drive-by», а затем скрывается в недрах загрузочного сектора на жестком диске ПК, причем обычные антивирусные сканеры его не обнаруживают.
Одно из первых сообщений о нахождении нового варианта Mebroot исходит от британской компании Prevx, которая занимается системами информационной безопасности. Первые разновидности этого вируса обнаружили в 2007 г. специалисты
Symantec, которые и дали ему такое название. В отличие от традиционных руткитов, которые устанавливаются в систему под видом драйверов, новый вариант Mebroot скрывается глубоко в недрах системы Windows, и его очень сложно обнаружить.
Вирус Mebroot перезаписывает на жестком диске ПК сектор MBR (Master Boot Record), который загружается в первую очередь при включении и загрузке Windows. Фактически, вирус становится невидимым для самой системы Windows и традиционных защитных программ. Кроме того, при попытке просканировать сектор MBR загруженный в память вирус подменяет данные и отдает защитным программам образ неповрежденного MBR.
Каждый раз при за
...
Читать дальше »
