כיצד לאתר זיהום שורש קיט 64 סיביות
- קטגוריה: תוֹכנָה
Alureon, או TDL, TLD3 ו- Tidserv, הוא ערכת השורש הראשונה שיכולה להדביק מחשבי Windows של 64 סיביות. לפני כן, רק מערכות 32 סיביות הושפעו מערכות שורש, ומשתמשי Windows רבים הבינו כי בפברואר, כאשר מיקרוסופט התיקון MS10-015 גרם למכונות נגועות להציג מסך כחול. ברור שזו לא הייתה אשמתה של מיקרוסופט באותה תקופה, שהניחו לראשונה אנשי מקצוע ומשתמשים כאחד. לאחר כמה מחקרים התברר כי ערכת השורש TLD3 הייתה אחראית להתנהגות זו.
מפתחי ה- rootkit שיפרו אותה במידה ניכרת מאז, והצליחו להוסיף את היכולת להדביק מערכות Windows של 64 סיביות. זו ראשונה, וספקי האבטחה מודאגים ממגמה זו.
עם זאת, מחברי התקיפות הללו לא נחו. לפני קצת פחות מחודש, נודע לנו לווריאנט חדש של Alureon המדביק את ה- Master Boot Record (MBR) במקום נהג נגוע. אמנם גרסא חדשה זו לא השפיעה על מכונות 64 סיביות, אך היה לה קובץ אינרטי הנקרא ldr64 כחלק ממערכת הקבצים הווירטואליים שלו. לאחרונה, גילינו גרסה מעודכנת שהדביקה בהצלחה מכונות 64 סיביות הפועלות עם Windows Vista ומעלה, תוך הפיכת מחשבים של Windows XP ו- Server 2003 עם 64 סיביות.
חברות אבטחה רבות כבר הוסיפו איתור וריאנט 64 סיביות ליישומי האבטחה שלהן, למשל, מיקרוסופט הוסיפה חתימות ל- Microsoft Security Essentials בתחילת אוגוסט.
עדיין, בעלי 64 סיביות של Windows עשויים לרצות לאמת בעצמם ש- rootkit אינו מותקן במערכת ההפעלה שלהם. כפי שמרמז המידע לעיל, בעלי Windows XP ו- Windows Server 2003 יבחינו מייד שמשהו אינו כשורה, מכיוון שמערכת ההפעלה שלהם לא תצליח לאתחל. על משתמשי Windows Vista או Windows 7 64 סיביות להמשיך לקרוא.
יש לפחות שתי אפשרויות לעשות זאת, והכל עם כלים שכבר כלולים במערכת ההפעלה:
פתח שורת פקודה עם Windows-R, הזן cmd והזן.
השתמש בפקודה דיסקפרט לפתוח את Diskpart בחלון שורת פקודה חדש.
להיכנס קרא לומר בשורת הפקודה החדשה, אם היא נותרה ריקה, המחשב נגוע בערכת השורש. אם הדיסקים מוצגים, זה לא.
טוֹב

רַע

האפשרות השנייה לאיתור ערכת השורש של 64 סיביות היא הבאה: הפעל את ניהול הדיסק מחלונית ניהול המחשבים.
אם הוא אינו מציג דיסקים, פירוש הדבר שהמערכת נגועה בערכת השורש. אם זה מראה דיסקים, הכל בסדר.
מערכת נגועה

מידע נוסף זמין בכתובת טכנט ו סימנטק .
כיצד להסיר את ה- Rootkit אם המערכת נגועה:
מספר תוכניות מסוגלות להסיר את ערכת השורש ולתקן את ה- MBR כך שהמערכת תתחיל כרגיל לאחר התיקון.
Hitman Pro Beta 112 ואילך יכולים לעשות זאת למשל.