Среда
13.11.2024, 10:51
Приветствую Вас Гость | RSS
 Радио НН  Главная Регистрация  Каспер  ESET  AVAST  Скорость  Вход  RSS
Меню сайта
  Главная
  О Сайте
  Видеоуроки
  Windows
  Программы
  Книги
  FAQ
  Форум
  Фото
  Игротека
  Живое TV
  Кинотеатр
  Гостевая
  DRIVERS

Программы

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Главная » 2012 » Апрель » 17 » Возвращение вирусов-блокираторов
22:56
Возвращение вирусов-блокираторов

Bootkit (по-русски, "буткит") - это вредоносная программа, заражающая главную загрузочную запись (MBR - Master Boot Record) на дисковых устройствах. Этот метод заражения позволяет вредоносной программе начать исполнение до загрузки операционной системы. Код буткита в MBR начинает исполняться после того, как BIOS (Basic Input Output System) выберет зараженное дисковое устройство для загрузки (это может быть как жесткий диск, так и флешка).


В этой теме я расскажу о необычном WinLocke, точнее даже BootKit-е, которого я пока не встречал за последние три года. Вообще думал что блокираторы сходят на нет, поскольку звонков с заблокированным компьютером стало поменьше. Но как говорится -- редко, но метко.

Итак, позвонил человек, пришел по вызову. Компьютер заблокирован (интересная кстати надпись -- "Ваш компьютер заблокирован Internet Police за поиск и просмотр"). Причем никаких смс отправлять не просят -- просто тупо заблокирован, без права переписки =) .
Опытный глаз сразу увидит, что вирус прописался в загрузочном секторе, т.е. стартует до загрузки операционной системы.

Немного отступлю от темы и скажу, что данный вирус называется "Буткит", селится он в загрузочном секторе жесткого диска и стандартными средствами операционной системы его практически невозможно удалить, только грузится с LiveCD. Ну и конечно, если не переписать загрузочный сектор, то простая переустановка системы не поможет, вирус снова загрузит свой модуль из заветного "хранилища". (спасет еще конечно и полная разбивка диска с удаление всех данных).

Загружаюсь сначала в консоль восстановления, восстанавливаю загрузочную запись (Fixmbr). После перезагруки надпись изчезла.. но система не загрузилась. Загружаюсь с LiveCD и вижу что вместо трех разделов жесткий диск состоит всего из одного (RAW). Пробовал восстановить разделы с помощью Acronis Recovery Expert и еще какими то, уже точно не помню -- безрезультатно. По своему скромному разумению понял, что удалена была MFT - информация файловой системы. В конце-концов начал лопатить интернет и нашел пару похожих примеров восстановления удаленных разделов.

Итак, полезные утилиты для восстановления, если у кого-то случилась подобная беда.
1. MeetSoft Partition Recovery -- именно эта утилита помогла восстановить оба раздела, третий к сожалению не восстановился ни одной программой, возможно из-за того что был отформатирован в FAT32.
2. TestDisk -- увидел все разделы (как и программа выше), но восстановить смог только один несистемный раздел с данными.
3.Partition Table Doctor -- помог восстановить системный раздел. В настоящее время эта версия уже не поддерживается разработчиками -- ОФСАЙТ, но вышла бесплатная новая.

Последние две программы восстанавливали только один из разделов, тоесть после перезагрузки виден был либо системный раздел, который даже загрузился, либо раздел с данными. И только MeetSoft Partition Recovery восстановила оба раздела, сделала видимыми оба. Третий раздел не восстанавливался вообще ничем. Пробовал другие утилиты для восстановления файлов Active Partition Recovery и другие. Программы могли увидеть только список файлов, некоторые можно было даже восстановить, но в основном раздел был потерян.

Все эти утилиты есть на загрузочном LiveCD -- "AlkidLiveCD". Пару ссылок по теме, которые сохранил: http://man-linux.ru/notes/solve/testdisk, http://www.oszone.net/1710/

Кто желает, более подробно от "Буткитах" может почитать на сайте Евгения Касперсокого
Скачать утилиту по удалению "буткитов" можно
с сервера сайта или с офсайта Касперского

Если кто что-либо подобное встречал -- прошу Вас отписаться ниже. Спасибо за внимание.


Скачать EaseUS Partition Recovery (раньше было название Partition Table Doctor)

Скачать MeetSoft Partition Recovery (файл не заархивирован в формате *exe)

Скачать TestDisk

Скачать TDSSKiller(утилита Касперского для удаления буткитов)

Просмотров: 3911 | Добавил: compserv | Рейтинг: 5.0/1
Всего комментариев: 1
1 compserv  
0
Последний скриншот приложил просто "до кучи", понравилось, как "разводят" испуганных пользователей. Изобретательность вирусописателей иногда просто поражает smile .

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск

Календарь
«  Апрель 2012  »
ПнВтСрЧтПтСбВс
      1
2345678
9101112131415
16171819202122
23242526272829
30
 

Новинки







Архив записей
[01.03.2013]
Восстановление доступа в социальные сети (0)
[14.01.2013]
И снова о троянах... (0)
[26.10.2012]
"Лечим" жесткий диск (0)
[04.08.2012]
Оптимизация Windows XP - Мифы, легенды и реальные советы (0)
[12.05.2012]
Описание различных форматов VIDEO-RIP (0)


Друзья сайта
  • Официальный блог
  • Портал "OSZONE"
  • Портал "RU-BOARD"
  • Windows-FAQ
  • Свежий интернет
  • Инструкции для uCoz

  • GISMETEO: Погода по г.Лукоянов


    "Компьютер-сервис" © 2024
    Конструктор сайтов - uCoz