Rootkit-ul Alureon infecteaza si sistemele 64-bit. Cum pot afla daca sunt infectat?

Dupa cum probabil ati citit deja in alte parti, a aparut si primul rootkit din familia Alureon, care infecteaza sistemele pe 64-bit. In urma cu o luna o noua varianta a rootkit-ului infecta MBR-ul (Master Boot Record) in locul unui driver infectat. Desi nu afecta inca sistemele 64-bit, continea un fisier inert denumit ldr64. Recent a fost descoperita varianta care infecteaza cu succes computerele ruland Windows Vista si 7 (ambele pe 64-bit), iar pe Windows XP si Windows 2003 64-bit, facea sistemul inoperabil, fara a mai putea porni.

In mod normal, Windows 64-bit protejeaza impotriva modificarilor neautorizate asupra kernelului, incluzand cerinta ca toate driverele sa fie semnate, iar PatchGuard, previne falsificarea structurilor sistemului. In afara de interceptarea secventei de bootare a sistemului de operare, malware-ul reconfigureaza de asemenea sistemul intr-un mod vizibil pentru a accepta drivere nesemnate.
Metoda utilizata este o caracteristica a kernelului, folosita de programele de criptare a discului sau compresie, si astfel nu incalca protectia oferita de PatchGuard.
Microsoft detecteaza installer-ul rootkit-ului ca: Trojan:Win32/Alureon.DX, iar driver-ul ca Trojan:WinNT/Alureon.L


Se pare ca lucrurile se complica, iar creatorii de virusi patrund acolo unde se credea ca nu o vor face.

Cum iti dai seama daca esti infectat? Exista o metoda simpla.
Navigati in Control Panel >> Administrative Tools >> Computer Management si accesati Disk Management.

Daca imaginea obtinuta seamana cu cea de mai jos, adica nu sunt afisate partitiile si hard-disk-urile, atunci sunteti infectati:

disk management rootkit 64-bit


O metoda alternativa este folosirea comenzii diskpart din consola: cmd. Tastati in continuare lis dis. In cazul unei infectii, nu va putea afisa partitiile si hard-disk-urile.

rootkit diskpart

Sursa: TechNet

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

4 responses to “Rootkit-ul Alureon infecteaza si sistemele 64-bit. Cum pot afla daca sunt infectat?”

  1. Gigi

    Vai, sunt infectat, ce ma fac? ­čÖé

    1. happyday

      te dai cu capul de 64 de pereti si apoi rulezi hitman pro beta (de preferat versiunea pe 64 biti ­čśŤ ) care se pare ca-l killareste ­čśÇ .

  2. Tweets that mention Rootkit-ul Alureon infecteaza si sistemele 64-bit. Cum pot afla daca sunt infectat? -- Topsy.com

    […] This post was mentioned on Twitter by Dragos Dogaru, Radu. Radu said: Rootkit-ul Alureon infecteaza si sistemele 64-bit. Cum pot afla daca sunt infectat?: Dupa cum probabil ati citit d… http://bit.ly/dqco4G […]

  3. Un virus pentru (ne)lini┼čtea noastr─â

    […] Alureon a ap─ârut ├«n 2010, poate capta parolele ┼či datele de pe card. Pentru mai multe informa┼úii click […]

Leave a Reply