Буткит (Bootkit) (от англ. boot — загрузка и kit — набор инструментов) — это вредоносная программа (так называемая MBR- руткит ), которая осуществляет модификацию загрузочного сектора MBR ( Master Boot Record ) — первого физического сектора на жёстком диске. (Известный представитель — Backdoor.Win32.Sinowal ).

Назначение

Используется вредоносными программами для получения максимальных привилегий в операционных системах. Буткит может получить права администратора (суперпользователя) и выполнять любые вредоносные действия. Например, он может загрузить в память специальную динамическую библиотеку , которая вообще не существует на диске . Такую библиотеку очень трудно обнаружить обычными методами, используемыми антивирусами .

Способ распространения

• Через взломанные сайты, порноресурсы и сайты, с которых можно загрузить нелицензионное ПО. При посещении пользователем зараженной страницы, на компьютере начинает выполняться специальный вредоносный скрипт , который на основании текущей даты, установленной на компьютере, генерирует имя сайта, на который необходимо перенаправить пользователя для получения «персонального» эксплойта .
• Руткит-технологии .

Заражение

При запуске, инсталлятор записывает зашифрованное тело буткита в последние сектора жесткого диска, находящиеся за пределами используемого операционной системой дискового пространства. Для обеспечения автозагрузки буткит заражает MBR компьютера, записывая в него свой начальный загрузчик, который до старта операционной системы считывает с диска и разворачивает в памяти основное тело руткита, после чего отдает управление ОС и контролирует процесс её загрузки. Буткит можно рассматривать как гибрид между вирусом и типом загрузочного сектора.

Обнаружение и ликвидация

Семейство данных вредоносных программ ведет себя достаточно скрытно, на зараженной системе его нельзя обнаружить штатными средствами, так как при обращении к зараженным объектам он «подставляет» оригинальные копии. Кроме того, основное тело вредоносной программы ( драйвер уровня ядра ) не присутствует на файловой системе , а расположено в неиспользованной части диска за границей последнего раздела. Вредоносная программа загружает драйвер самостоятельно, без помощи операционной системы. Сама же операционная система не подозревает о наличии драйвера. Обнаружение и лечение данного буткита является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. Способом борьбы с буткитами является загрузка системы с любого съёмного неинфицированного носителя, чтобы избежать основной загрузки вируса после включения компьютера , и последующая перезапись загрузочного сектора его резервной копией BOOTSECT.BAK, которая всегда находится в корневом каталоге системного тома.

Ссылки

• (недоступная ссылка)
• Новости об угрозах (15.05.2009)