Trojan:Win32/Popureb.E modificē MBR. Ko nu?

[samurajs]

Mūsdienu datorvīrusi kļūst aizvien rafinētāki un grūtāk atklājami. Nu parādījies eksemplārs Trojan:Win32/Popureb.E, kuru neviens antivīruss nespēs likvidēt – kaitēklis ierakstās cietā diska ielādes sektorā (MBR), kas ir ārpus antivīrusu redzamības un sniedzamības zonas.

Pārrakstīt un salabot MBR no darbojošās sistēmas nebūs iespējams – trojāns modificē DriverStartIo apakšprogrammu, un ieraksta tur vienkāršu kodu (attēlā). Š is kods gadījumā, ja kaut kas mēģinās pārrakstīt ielādes sektoru, vienkārši nomainīs rakstīšanas operāciju pret lasīšanu.

Ja nu gadījies saķert Trojan:Win32/Popureb.E, Microsoft Malware Protection Center (MMPC) līdzstrādnieks Chun Feng iesaka šādu ceļu: vispirms no Sistēmas atkopšanas konsoles (System Recovery Console) izpildīt komandu “fixmbr”.

Pēc tam jāveic sistēmas atkopšana no ārienes: varianti Windows XP, Vista un Windows 7 sistēmām.

Protams, gadījumos, ja sistēmas atkopšana kādu iemeslu dēļ nav iespējama, atliek vienīgi Windows pārinstalēšana.

[img]https://notepad.lv/userpix/28_bid563001_1.jpg[/img]

Avots

[wanted20]

Labs 😀

[rodgerz]

Tā arī gan nav pateikts ko šis īsti sliktu dara…

[samurajs]

Nav svarīgi ko šis sliktu dara, svarīgi ir tas, ka dzimusi jauna vīrusu paaudze, kur AV bezspēcīgs.

Protams, spečuks izkvēpinās to zarazu no PC, bet ko lai dara ierindas cilvēciņi, kas paļaujas tikai uz antivīrusu?

[OME]

Un kā būtu, ja “Security Update” pirmais šo sektoru aizņemtu ar savu kodu? Uztaisītu tā, ka vīruss nevar tajā vairs ierakstīties?

[mocha]

gribējās vairāk informāciju par kā izpaužās konkrētais vīrus darbībā?

sēž savā mbr vai arī modificē ielādes procesu, ir man pāris pc mistiski nolidojuši ar nespēju iebūtoties, nepalīdzēja arī recovery console.

Kā tas izplatās? usb, tīkls, kādi porti etc…

Kā viņu atpazīt, nerestartējoties?

Labprāt turpinātu saņemt jaunumus par šo tēmu, lai saprastu kā tālāk rīkoties.

Laikam jau pareizākais būtu pašlaik kritiskās kastes nerestartēt kamēr būs vairāk informācija

[Garinsh]

Es arī labprāt saņemtu vairāk informāciju par to, ko šie tārpi dara un kā to zarazu apkarot.

[zeno]

Bija pirms kāda pusgada paziņa noķēris tādu- portatīvajam pat recovery nevarēja palaist, hirens palīdzēja

[piwchix]

Nez kāpēc, bet uzreiz prātā ienāca “Sēžu vislaik ar Admin tiesībām un nekādu kaitēkli neesmu noķēris.” 😀

[mocha]

No diviem ar līdzīgām pazīmēm “nolidojušiem” datoriem

1. lietoja users ikdienā ar limited tiesībām

2. darbojās videonovērošanas softs un lietotājs ar admin tiesībām, tomēr tur tīkls vispār NAV bijis. tiesa pēdējos divos mēnešos esot sprausts usb lai backup savāktu.

Līdz ar to vai tur admin tiesības ir/nav pie vainas pagaidām neņemos spriest.

[ruukjis]

Tas, ka pie vainas varētu būt sūdais cietns, elektrības traucējumi vai vienkārši līkrocība, tev prātā nav ienācis?

[mocha]

to ruukjis

paldies par pacilaajosho komentāru. Ja nedaudz pamainītu izteikšanās veidu/teikuma struktūru tad visi šeit saprastos daudz mierīgākā gaisotnē 😉

Darbastacijai hdd testus jau izlaidu. Ražotāja toolis neko neatrada.

Ar elektrību protams var būt visādas jautrības, tomēr:

– nomira viens no vairākiem desmit pc, kuri barojas no viena ienākošā vada

– un pats galvenais “elektrības jautājumā” vai tiešām elektrības padeve pēc restarta varētu būt pie vainas boot procesam? varbūt, tomēr laikam ne manā gadījumā

[Gakh]

samuraj, nav dzimusi jauna vīrusu paaudze, pirms kādiem pāris gadiem jau par šito runāja 🙂

[niki]

Š eit arī neko jēdzīgu neraksta, bet kaut ko jau raksta..

Es jau savā laikā visādus virsussus esmu saķēris 😉 😉

[ruukjis]

1. Tas vīruss nenokauj MBR – viņš tur ieperinās, šāda tipa vīrusiem (trojāniem) nav izdevīgi, lai tavs kompis nosprāgtu.

2. Tas, ka nomira viens no desmit kompjiem nav rādītājs – rūpniecības brāķis/defekts ir neatkarīgs no tavu datoru barošanās avota.

3. Tieši elektrības traucējumi ir viens no biežākajiem cēloņiem MBR un vispār disku problēmām.

Īsi sakot, tas varētu būt ļoti daudzkas, bet es stipri apšaubu vīrusa klātbūtni, turklāt, man ir aizdomas, ka šis trojāns neizplatās ar “Flašiņu” starpniecību.

[mocha]

To ruukjis. Prieks par Tavu peedeejo komentaaru – taa ir daudz labāk! Tas ir daudz saprotamaaks un paskaidrojoshaaks.

Iespējams ka Tev arī ir taisnība, Man pagaidām nav sanācis vairāk šo jautājumu pētīt.

Vienkārši vienas nedēļas laikā diviem pc win aizlidoja un tieshi problēmas ar ielādes procesu. Tāpēc arī pavilkos uz šo ideju.

[nabadanga]

Ielādes sektoru vīrusi nav nekāds jaunums un ir zināmi jau ļoti sen. Es ieteiktu mazāk klausīties, ko saka Microsoft, vai, kā minimums, neattiecināt viņu teikto uz visiem antivīrusiem. Micrososft vispirms vajadzētu uztaisīt antivīrusu, kas patiešam var par tādu saukties. Ir antivīrusi, kas lieliski tiek galā arī ar dažādiem rootkitiem.

Man ir diezgam labi noderējuši Kasperska bezmaksas tūļi:

https://www.kasperskyclub.com/how_to/virus-removal-tools

[prusaks]

Virus Total, ja iemet googlī nosaukumu, tad Microsoft uzpūsts burbulis.

[Autors]

Ieraksti