Proč vir mění zápis na disk ve čtení?
Na blogu bezpečnostních expertů z Microsoftu se objevila zmínka o nové variantě breberky Popureb, jejíž „část“ (dá se to tak nazvat) Popureb.A se ukládá do Master Boot Record sektoru na pevném disku (čímž se dobře skrývá před antiviry i uživatelem), zatímco část Popureb.B obtěžuje uživatele zobrazováním nevyžádané reklamy. Novinkou je třetí část Popureb.E, která se instaluje jako speciální ovladač a má velmi zajímavou funkci: při snaze přepsat Master Boot Record udělá z příkazu Write příkaz Read…
Poměrně zajímavý způsob ochrany před přepsáním viru, jen co je pravda, i specialisty z Microsoftu překvapil :). Pokud se nějaký antivir, nebo cokoli jiného pokouší opravit MBR, vyšle směrem k disku příkaz Write s patřičným obsahem. Z příkazu se však cestou stane Read, což má dva efekty: Příkaz se provede, aniž by vrátil chybu, a obsah MBR zůstane zachován. Breberka Popureb.A tak při dalším spuštění opět zaúřaduje.
Léčení takové infekce je trošku složitější, asi nejlepším řešením je „vyčištění offline“, tedy nastartování jiného systému z jiného disku (DVD, USB) a oprava Master Boot Record sektoru, což doporučuje i Microsoft. Jeho doporučení se konkrétně váže na příkaz
Že by začínalo být na malwarové scéně opět veselo? Pamatujete časy destrukčních virů jako Černobyl? ;-)
WIFT "WIFT" WIFT
Bývalý dlouholetý redaktor internetového magazínu CDR-Server / Deep in IT, který se věnoval psaní článků o IT a souvisejících věcech téměř od založení CD-R serveru. Od roku 2014 už psaní článků fakticky pověsil na hřebík.
