Rootkit-ul Alureon infecteaza si sistemele 64-bit. Cum pot afla daca sunt infectat?

Dupa cum probabil ati citit deja in alte parti, a aparut si primul rootkit din familia Alureon, care infecteaza sistemele pe 64-bit. In urma cu o luna o noua varianta a rootkit-ului infecta MBR-ul (Master Boot Record) in locul unui driver infectat. Desi nu afecta inca sistemele 64-bit, continea un fisier inert denumit ldr64. Recent a fost descoperita varianta care infecteaza cu succes computerele ruland Windows Vista si 7 (ambele pe 64-bit), iar pe Windows XP si Windows 2003 64-bit, facea sistemul inoperabil, fara a mai putea porni.

In mod normal, Windows 64-bit protejeaza impotriva modificarilor neautorizate asupra kernelului, incluzand cerinta ca toate driverele sa fie semnate, iar PatchGuard, previne falsificarea structurilor sistemului. In afara de interceptarea secventei de bootare a sistemului de operare, malware-ul reconfigureaza de asemenea sistemul intr-un mod vizibil pentru a accepta drivere nesemnate.
Metoda utilizata este o caracteristica a kernelului, folosita de programele de criptare a discului sau compresie, si astfel nu incalca protectia oferita de PatchGuard.
Microsoft detecteaza installer-ul rootkit-ului ca: Trojan:Win32/Alureon.DX, iar driver-ul ca Trojan:WinNT/Alureon.L


Se pare ca lucrurile se complica, iar creatorii de virusi patrund acolo unde se credea ca nu o vor face.

Cum iti dai seama daca esti infectat? Exista o metoda simpla.
Navigati in Control Panel >> Administrative Tools >> Computer Management si accesati Disk Management.

Daca imaginea obtinuta seamana cu cea de mai jos, adica nu sunt afisate partitiile si hard-disk-urile, atunci sunteti infectati:

O metoda alternativa este folosirea comenzii diskpart din consola: cmd. Tastati in continuare lis dis. In cazul unei infectii, nu va putea afisa partitiile si hard-disk-urile.

Sursa: TechNet