Kako odkriti 64-bitno okužbo z Alureon Rootkit

Alureon ali TDL, TLD3 in Tidserv je prvi rootkit, ki lahko okuži 64-bitne računalnike Windows. Pred tem so rootkiti prizadeli le 32-bitne sisteme, zato so številni uporabniki sistema Windows ugotovili, da je februarja, ko je Microsoftov obliž MS10-015 okuženim računalnikom prikazal modri zaslon. Očitno takrat Microsoft ni bil kriv, kar so najprej prevzeli profesionalci in uporabniki. Po nekaterih raziskavah se je izkazalo, da je za tako vedenje odgovoren rootkit TLD3.



Razvijalci rootkita so ga od takrat občutno izboljšali in uspeli dodati možnost okužbe 64-bitnih sistemov Windows. To je najprej in varnostni prodajalci so zaskrbljeni zaradi tega trenda.

Vendar avtorji teh napadov niso počivali. Pred slabim mesecem dni smo postali seznanjeni z novo različico Alureona, ki namesto okuženega gonilnika okuži Master Boot Record (MBR). Medtem ko ta nova različica ni vplivala na 64-bitne stroje, je imela del svojega navideznega datotečnega sistema inertno datoteko z imenom ldr64. Pred kratkim smo odkrili posodobljeno različico, ki je uspešno okužila 64-bitne stroje z operacijskim sistemom Windows Vista ali novejšim, medtem ko je 64-bitne računalnike Windows XP in Server 2003 onemogočil.

Številna varnostna podjetja so svojim varnostnim aplikacijam že dodala odkrivanje 64-bitne različice, Microsoft je na primer dodal podpise Microsoft Security Essentials v začetku avgusta.



Kljub temu bodo lastniki 64-bitnih sistemov Windows morda želeli sami preveriti, ali rootkit ni nameščen v njihovem operacijskem sistemu. Kot kažejo zgornji podatki, bodo lastniki sistemov Windows XP in Windows Server 2003 takoj opazili, da nekaj ni v redu, saj se njihov operacijski sistem ne bo zagnal. 64-bitni uporabniki sistema Windows Vista ali Windows 7 bi morali brati naprej.

Za to obstajata vsaj dve možnosti, vse z orodji, ki so že vključena v operacijski sistem:

Odprite ukazni poziv in v programu Windows-R vnesite cmd in vnesite.



Uporabite ukaz diskpart da odprete Diskpart v novem oknu ukazne vrstice.

Vnesite preberi reči Če ostane prazen, se v novem pozivu računalnik okuži z rootkitom. Če se diski prikažejo, ni.

Dobro

windows 64 bit rootkit detection
Windows 64 bit odkrivanje rootkitov



Slab

diskpart
diskpart

Druga možnost za zaznavanje 64-bitnega rootkita je naslednja: Zaženite upravljanje diskov iz podokna Upravljanje računalnika.



Če ne prikazuje diskov, pomeni, da je sistem okužen z rootkitom. Če pokaže diske, je vse v redu.

Okuženi sistem

al64-2
al64-2

Dodatne informacije so na voljo na Technet in Symantec .

Kako odstraniti osnovni program, če je sistem okužen:

Več programov lahko odstrani rootkit in popravi MBR, tako da se sistem po popravilu zažene normalno.

Hitman Pro Beta 112 in novejši lahko to storijo na primer.