войти зарегистрироваться

ESET NOD32

ESET NOD32
хабраиндекс
46,11

Атака MBR-червя или все новое — хорошо забытое старое

В последнее время в Интернете получил массовое распространение ранее неизвестный червь — Win32/Zimuse, нацеленный на повреждение главной загрузочной записи MBR (Master Boot Record) на жестком диске.
Примечательно то, что данная угроза изначально была в шутку создана для заражения одного небольшого сообщества словацких байкеров. Возможно, это были происки конкурирующего с ними мотоклуба. Однако сегодня червь уже вышел из-под контроля его авторов и активно распространяется по всему миру. При этом 90% всех инфицированных пользователей сначала находились на территории Словакии. Но теперь по количеству заражений лидируют также США, Таиланд и Испания, с небольшим отставанием Италия, Чехия и другие европейские страны.

Win32/Zimuse повреждает главную загрузочную запись MBR на всех обнаруженных им жестких дисках. Это делает недоступными для пользователя все данные, находящиеся на жестком диске.

image

image

Червь распространяется двумя способами: в виде приложения на вполне легальных веб-ресурсах, которое имитирует поведение самораспаковывающегося zip-архива или в виде программы IQ-теста, а также на сменных USB-носителях. Именно второй способ повлиял на быстрый рост его распространения.

image

После запуска программ IQ-тест пользователи могут наблюдать текстовое послание на чешском языке, что еще раз подтверждает происходение этого червя из Восточной Европы.

image

На сегодняшний день червь известен в двух вариантах — Win32/Zimuse.A и Win32/Zimuse.B. Они отличаются методом распространения и временем активации. Варианту «А» необходимо 10 дней до начала распространения через USB-устройства, второму — лишь 7 дней с момента заражения.
Подобного рода инцидент уже был ранее известен с вирусом OneHalf, который наделал много шума в середине девяностых. В то время многие антивирусные программы были бессильны перед данной угрозой. OneHalf заражал MBR и шифровал пользовательские данные. Многие варианты лечения этого вируса приводили к повреждению загрузочного сектора и потере данных. В процессе расследования и поиска авторов OneHalf большинство фактов указывало на то, что его распространение началось именно в Словакии и, вероятнее всего, автор был тоже оттуда.

Пользователи антивирусных продуктов ESET NOD32 Antivirus и ESET NOD32 Smart Security защищены от угрозы Win32/Zimuse, а для всех остальных компания ESET разработала специальную утилиту, которая позволяет избавиться от червя Zimuse Removal Tool.
+20
25 января 2010, 19:20
12
SVH

комментарии (56)

  • Прямо не верится, что не троян, а самый. Настоящий. Вирус!
    Конечно, радоваться тут нечему, но сам факт: куда не глянь сейчас: трояны, трояны, трояны, черви, трояны, трояны, трояны. И тут — чистокровный такой вирус. Олдскул.
    • Нифига это не чистокровный вирус. Распространение в виде приложения и через USB?
      MBR стирает! О, да, олдскул!
      • Ну может не совсем чистокровный. Но ведь самую главную заповедь вирусов: «нанеси вред ближнему ПК своему» он соблюдает :0)
        • главная заповедь вирусов это размножение :-)



          • Распечатки не резали мы на листы,
            И, наши первые вирусы были просты.
            Но, Мы все-таки были в восторге от их размножения!

            А ведь когда-то не боялись мы программы любой,
            И с одним лишь дебагом выходили на бой!
            И искусно написанный вирус встречали как брата.

            • ХИРЭ
    • Видно где-то ледники растаяли, вот он и вылез :)
    • НЛО прилетело и опубликовало эту надпись здесь.
  • Ну про ESET NOD32 Antivirus и ESET NOD32 Smart Security понятно. А куда деваться корпоративным пользователям Касперского от сей напасти? Забавно осозновать, что есть эффективные средства защиты от подобных вещей, а тебе, в силу корпоративных обязательств, они не доступны.
    • Норальные корпоративщики, если говорить о Касперском, используют ForeFront.
    • Наверно, если уж ESET ловит, то все остальные тоже ловят или будут скоро ловить…
    • *Заказная статья детектед* Думаю каспер прекрасно с ними уже справляется.

      Наверное я тупой, но не понимаю в упор как соотносятся две фразы:
      Win32/Zimuse повреждает главную загрузочную запись MBR на всех обнаруженных им жестких дисках. Это делает недоступными для пользователя все данные, находящиеся на жестком диске.
      На сегодняшний день червь известен в двух вариантах — Win32/Zimuse.A и Win32/Zimuse.B. Они отличаются методом распространения и временем активации. Варианту «А» необходимо 10 дней до начала распространения через USB-устройства, второму — лишь 7 дней с момента заражения.

      Короче масло масляное, когда убивается мбр не написано, как на ранних стадиях обнаружить, куда на usb пишется и т.п.

      Имхо, если уж пишите на заказ-пишите интересно, здесь все-таки не только хомячки пользователи сидят.
  • Разве MBR отвечает за данные на диске? Я думал только на загрузку системы с винта влияет.
    • Там ещё написано сколько цилиндров на какую партицию. Хотя это довольно просто восстановить.
    • Обычно MBR-вирусы записывают себя в качестве загрузчика и получают управление до старта ОС. Если вирус грохнется или будет некорректно удален MBR будет повреждена и с загрузкой будут проблемы, хотя с загрузочного диска оно с помощью fixmbr должно починиться.
  • А Eset случаем же тоже из словакии. Кэп намикает нам…
    • Хе хе и правда «Расположение Братислава (Словакия)»
      Забавно получается)
      • Я тут яростно заминусован, но скажу фразу, за которую могут заминусовать ещё больше. Создание антивирусного софта это мошеннический бизнес, сначала пишут вирусы, а потом заносят их в свои базы. Полагаю, что создание платных антивирусов должно быть запрещено, то есть должна быть запрещена продажа антивирусов, и напротив, производителей операционных систем надо в законодательном порядке обязать включать в ОС средства информационной безопасности.
        • Кругом враги. Сомневаюсь, что вирусы ворующие кошельки вебмани пользователей писал Касперский :)

          Полагаю, что создание платных антивирусов должно быть запрещено, то есть должна быть запрещена продажа антивирусов, и напротив, производителей операционных систем надо в законодательном порядке обязать включать в ОС средства информационной безопасности.

          Мда, как показывает практика разработки антивирусов мелкомягких — не писал стихов и не пиши, лучше погуляй и подыши. Хотите спокойно лазить по порносайтам и однокласникам — linux + selenux + firefox+noscript+noimage :). А вобще /etc/init.d/Прямые_Руки&Мозг start вам в помощь
          Спасибо тому же avp что они выпускают и бесплатные утилиты под отдельные вирусы. А за качество и халяву в настройках -надо платить :)
          • Отдельные вирусы и вправду пишут киберпреступники, а вот кто пишет 99,9% вирусы, которые официально не приносит прибыли их создателям?
            • 0.01%
            • Откуда взялись такие цифры??? Сейчас примерно 50-60% вирусов направлены на грабеж. Как и раньше много вирусов пишут интузазисты, которым интересно.
              Может быть есть небольшой сегмент(пишется вирус под свой антивирус) на рынке вирусов, но это недоказуемо, иэто уж точно не 99.9 процентов :)
              • 50-60%% Вы бредите, Вы часто сталкиваетесь с такими вирусами? Я не говорю про SMS-вымогателей, которые блокируют Касперского, если Касперский не может защитить себя от захвата управления посторонней программой, то какое это к черту средство безопасности? По странному совпадению вирус, который приносит прибыли своим создателям? Ещё раз повторяю, кто пишет 99,9% мусора, которые не приносит ни прибыли, ни славы своим создателям?
  • Это что получается, у людей в биосе отключена защита от записи в MBR чтоли?
    • НЛО прилетело и опубликовало эту надпись здесь.
      • Обычно Boot Sector Virus Protection
    • А разве MBR находится в биосе?
      • НЛО прилетело и опубликовало эту надпись здесь.
    • 3 материнки и на всех трёх по умолчанию отключена. Да и ОС же сначала надо поставить, так что логично.
      • По умолчанию — это логично, но после установки ОС ее обычно включают, не? :)
        • Как-то забывается. :) Ни на одной не включён.
  • интересно, просто с livecd ubuntu можно ли будет все исправить?
    • Да, с любого livecd, дискетки!, даже из под DOSа — fdisk /mbr (- а-ля крутая утилита от ESET :) )
      • НЛО прилетело и опубликовало эту надпись здесь.
        • diskedit, чашку кофе и вперед :)))
        • есть утилитки для поиска разделов. Начало раздела имеет массу магических циферок в начале.

          Потом — есть логические разделы, которые не затираются и для восстановления которых нужно найти лишь первую расширенную таблицу (у нее тоже есть магические циферки).

          Но на всякий случай я стараюсь держать недалеко от компа бумажный носитель с переписанными данными из мбр.
    • НЛО прилетело и опубликовало эту надпись здесь.
      • А что там на /home смонтировано?: )
      • Лучше sfdisk -d
        и распечатать :)
      • Да, я так всегда резервные копии MBR и первых секторов всех разделов делаю:
        dd if=/dev/sda1 of=/home/user/backups/sda1.bk bs=512 count=1
        И все это после того как однажды сделал grub-install /dev/sda1, а на sda1 винда стояла :(. Долго я пытался восстановить содержимое того злополучного сектора, правя байты в hex-редакторе. Вот после этого уже научен :)
  • ну MBR это фигня, хотя для обычных пользователей «винуоус не работает» крайне неприятная вещь, вот если бы он повреждал-шифровал файловые таблицы то да, перевтыкай диск или с лайф-сиди, сиди часами пока программа анализатор не спеша сканируется поверхность диска, получай кучу битых и давно стертых файлов? копируй их на другой свободный диск()который еще надо найти…
    по сравнению с этим восстановление(а порой проще руками указать) MBR это полная фигня…
  • >>для всех остальных компания ESET разработала
    Типо такие крутые и заботливые?)
    • А eset часом не из чехии родом?
  • В течении месяца трое знакомых, вместо того, чтобы купить лицензионный антивирус, заплатили по SMS шантажистам за «разблокировку» своего компьютера более трёх тысяч рублей.

    Оказывается правду говорят, что среднестатистический человек, пускай и пользователь компьютера, мягко сказать умом не блещет.
    Даже на RBC про эффективность этого SMS шантажа написали.

  • В моменты прочтения таких новостей на секунду снова радуешься, что у тебя только Мак ОС…
    • В моменты прочтения таких комментариев понимаешь, что некоторые не упустят повода рассказать всем, что у них МАК!!!!111
      Как же вы заебали.
      • Вы что, плохо Хабр знаете? Когда факап случается у Эппл, набегает толпа злобных линупсоидов или виндузятников и vice versa. Все просто + анальный вау-фактор.
  • Чота даже не слышно про такого. Наверное, где-нибудь далеко гуляет.
  • Распространение под видом IQ-теста — злая ирония авторов :)
    Мало того, практически правда… тестирует ведь.
    Не запустил\проверил антивирем = прошел. :]
    • Есть хорошая шутка по этому поводу. Спрашиваете у знакомого:
      — Вот идешь по дороге, а перед тобой лежат мозги и куча денег. Что возьмешь?
      — (явно пытаясь выглядеть умной) нууу… мозги, наверное
      — хэх… Это кому что не хватает! :)

      Это я про IQ тесты :)
  • Вот чего-чего, но такого я от словацких байкеров не ожидал!
    • Ага, повального тестирования IQ.
  • Это, конечно, замечательно, что Eset только сейчас нашёл и обезвредил, да только любая топовая песочница защитила своих пользователей ещё до того момента, как были написаны первые строчки кода этого MBR-червя.
  • а разве винда дает прямо так в мбр писать все подряд?
  • www.anti-malware.ru/forum/index.php?showtopic=9689 — вот здесь я публиковал некоторое исследование на тему зловредов, заражающих mbr, и нашу мини-утилиту для борьбы с ними.
    Если сможете протестировать на машине, зараженной Win32/Zimuse — буду благодарен.
  • Под wine пашет? Или опять как всегда?
Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.