Home-theater-designers
La minaccia di contrarre un virus è molto reale. L'onnipresenza di forze invisibili che lavorano per attaccare i nostri computer, per rubare le nostre identità e razziare i nostri conti bancari è una costante, ma speriamo che con il giusta quantità di nous tecnico e un'infarinatura di fortuna, andrà tutto bene.
disco bloccato a 100 Windows 10
Tuttavia, per quanto avanzati siano gli antivirus e altri software di sicurezza, i potenziali aggressori continuano a trovare nuovi vettori diabolici per interrompere il tuo sistema. Il bootkit è uno di questi. Sebbene non sia del tutto nuovo sulla scena del malware, c'è stato un aumento generale del loro utilizzo e una netta intensificazione delle loro capacità.
Diamo un'occhiata a cos'è un bootkit, esaminiamo una variante del bootkit, Nemesis e considera cosa puoi fare per stare alla larga .
Che cos'è un bootkit?
Per capire cos'è un bootkit, spiegheremo prima da dove viene la terminologia. Un bootkit è una variante di un rootkit, un tipo di malware con la capacità di nascondersi dal sistema operativo e dal software antivirus. I rootkit sono notoriamente difficili da rilevare e rimuovere. Ogni volta che accendi il tuo sistema, il rootkit garantirà a un utente malintenzionato l'accesso continuo a livello di root al sistema.
Un rootkit può essere installato per diversi motivi. A volte il rootkit verrà utilizzato per installare più malware, a volte verrà utilizzato per creare un computer 'zombie' all'interno di una botnet, può essere utilizzato per rubare chiavi di crittografia e password o una combinazione di questi e altri vettori di attacco.
I rootkit a livello di bootloader (bootkit) sostituiscono o modificano il boot loader legittimo con uno dei suoi aggressori, influenzando il Master Boot Record, il Volume Boot Record o altri settori di avvio. Ciò significa che l'infezione può essere caricata prima del sistema operativo e quindi può sovvertire qualsiasi programma di rilevamento e distruzione.
Il loro utilizzo è in aumento e gli esperti di sicurezza hanno notato una serie di attacchi incentrati sui servizi monetari, di cui 'Nemesis' è uno degli ecosistemi di malware osservati più di recente.
Una nemesi della sicurezza?
No, non un Star Trek film, ma una variante particolarmente sgradevole del bootkit. L'ecosistema di malware Nemesis è dotato di un'ampia gamma di capacità di attacco, inclusi trasferimenti di file, acquisizione di schermate, registrazione dei tasti premuti, iniezione di processi, manipolazione dei processi e pianificazione delle attività. FireEye, la società di sicurezza informatica che ha individuato per prima Nemesis, ha anche indicato che il malware include un sistema completo di supporto backdoor per una serie di protocolli di rete e canali di comunicazione, consentendo un maggiore comando e controllo una volta installato.
In un sistema Windows, il Master Boot Record (MBR) memorizza le informazioni relative al disco, come il numero e il layout delle partizioni. L'MBR è vitale per il processo di avvio, poiché contiene il codice che individua la partizione primaria attiva. Una volta trovato questo, il controllo viene passato al Volume Boot Record (VBR) che risiede nel primo settore della singola partizione.
Il bootkit Nemesis dirotta questo processo. Il malware crea un file system virtuale personalizzato per archiviare i componenti di Nemesis nello spazio non allocato tra le partizioni, dirottando il VBR originale sovrascrivendo il codice originale con il proprio, in un sistema denominato 'BOOTRASH'.
'Prima dell'installazione, il programma di installazione di BOOTRASH raccoglie statistiche sul sistema, inclusa la versione e l'architettura del sistema operativo. Il programma di installazione è in grado di distribuire versioni a 32 o 64 bit dei componenti Nemesis a seconda dell'architettura del processore del sistema. Il programma di installazione installerà il bootkit su qualsiasi disco rigido che disponga di una partizione di avvio MBR, indipendentemente dal tipo specifico di disco rigido. Tuttavia, se la partizione utilizza l'architettura del disco GUID Partition Table, anziché lo schema di partizionamento MBR, il malware non continuerà con il processo di installazione.'
Quindi, ogni volta che viene chiamata la partizione, il codice dannoso inietta i componenti Nemesis in attesa in Windows. Di conseguenza , 'la posizione di installazione del malware significa anche che persisterà anche dopo la reinstallazione del sistema operativo, ampiamente considerato il modo più efficace per sradicare il malware', lasciando una strada in salita per un sistema pulito.
Stranamente, l'ecosistema di malware Nemesis include la propria funzione di disinstallazione. Ciò ripristinerebbe il settore di avvio originale e rimuoverebbe il malware dal sistema, ma è presente solo nel caso in cui gli aggressori debbano rimuovere il malware di propria iniziativa.
Avvio protetto UEFI
Il bootkit Nemesis ha in gran parte colpito le organizzazioni finanziarie al fine di raccogliere dati e sottrarre fondi. Il loro uso non sorprende l'ingegnere di marketing tecnico senior di Intel, Brian Richardson , chi Appunti 'Bootkit e rootkit MBR sono stati un vettore di attacchi di virus sin dai tempi di 'Inserisci disco in A: e premi INVIO per continuare'. Ha continuato spiegando che mentre Nemesis è senza dubbio un malware estremamente pericoloso, potrebbe non influenzare il tuo sistema domestico così facilmente.
come usare il tuo iPhone sul tuo computer
I sistemi Windows creati negli ultimi anni saranno stati probabilmente formattati utilizzando una tabella delle partizioni GUID, con il firmware sottostante basato su UEFI . La parte di creazione del file system virtuale BOOTRASH del malware si basa su un'interruzione del disco legacy che non esisterà sui sistemi che si avviano con UEFI, mentre il controllo della firma UEFI Secure Boot bloccherebbe un bootkit durante il processo di avvio.
Quindi quei sistemi più recenti preinstallati con Windows 8 o Windows 10 potrebbero essere assolti da questa minaccia, almeno per ora. Tuttavia, illustra un grosso problema con le grandi aziende che non riescono ad aggiornare il proprio hardware IT. Quelle aziende che usano ancora Windows 7 e in molti luoghi ancora che utilizzano Windows XP, espongono se stessi ei propri clienti a una grave minaccia finanziaria e ai dati.
Il veleno, il rimedio
I rootkit sono operatori complicati. Maestri dell'offuscamento, sono progettati per controllare un sistema il più a lungo possibile, raccogliendo quante più informazioni possibili durante quel tempo. Le aziende antivirus e antimalware hanno preso nota e un certo numero di rootkit le applicazioni di rimozione sono ora disponibili per gli utenti :
- Malwarebytes Anti-Rootkit Beta
- Kaspersky Lab TDSSKiller
- Avast aswMBR
- Bitdefender Anti-Rootkit
- GMER – applicazione avanzata che richiede la rimozione manuale
Anche con la possibilità di una rimozione riuscita in offerta, molti esperti di sicurezza concordano sul fatto che l'unico modo per essere sicuri al 99% di un sistema pulito è un formato completo dell'unità, quindi assicurati di mantenere il backup del tuo sistema!
Hai sperimentato un rootkit o anche un bootkit? Come hai ripulito il tuo sistema? Fatecelo sapere qui sotto!
Condividere Condividere Tweet E-mail 3 modi per verificare se un'e-mail è reale o falsaSe hai ricevuto un'email che sembra un po' dubbia, è sempre meglio verificarne l'autenticità. Ecco tre modi per sapere se un'e-mail è reale.
Leggi Avanti Argomenti correlati- Sicurezza
- Partizione del disco
- Hacking
- Sicurezza del computer
- Malware
Gavin è l'editor junior per Windows e la spiegazione della tecnologia, un collaboratore regolare del podcast Really Useful e un revisore regolare del prodotto. Ha una laurea (Hons) in scrittura contemporanea con pratiche di arte digitale saccheggiata dalle colline del Devon, oltre a oltre un decennio di esperienza di scrittura professionale. Ama abbondanti quantità di tè, giochi da tavolo e calcio.
Altro da Gavin PhillipsIscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Clicca qui per iscriverti