Propaganda

A ameaça de pegar um vírus é muito real. A onipresença de forças invisíveis trabalhando para atacar nossos computadores, roubar nossas identidades e invadir nossas contas bancárias é uma constante, mas esperamos que, com o quantidade certa de nous técnico Os 5 melhores discos de resgate e recuperação para uma restauração do sistema WindowsAqui estão os melhores discos de recuperação do Windows para ajudá-lo a acessar seu computador para fazer reparos e backups, mesmo quando ele não inicializa. consulte Mais informação e um pouco de sorte, tudo ficará bem.

No entanto, por mais avançados que sejam os antivírus e outros softwares de segurança, os possíveis invasores continuam a encontrar novos vetores diabólicos para atrapalhar o sistema. O kit de inicialização é um deles. Embora não seja totalmente novo no cenário de malware, houve um aumento geral no uso e uma intensificação definitiva de seus recursos.

Vamos ver o que é um kit de inicialização, examinar uma variante do kit de inicialização, Nemesis e

considere o que você pode fazer para ficar claro 10 etapas a serem seguidas ao descobrir malware no seu computadorGostaríamos de pensar que a Internet é um local seguro para gastar nosso tempo (tosse), mas todos sabemos que há riscos em cada esquina. E-mail, mídias sociais, sites maliciosos que funcionaram ... consulte Mais informação .

O que é um Bootkit?

Para entender o que é um kit de inicialização, primeiro explicaremos de onde vem a terminologia. Um kit de inicialização é uma variante de um rootkit, um tipo de malware com a capacidade de ocultar-se do sistema operacional e do software antivírus. Os rootkits são notoriamente difíceis de detectar e remover. Cada vez que você inicia o sistema, o rootkit concede ao invasor acesso contínuo ao nível da raiz do sistema.

Um rootkit pode ser instalado por vários motivos. Às vezes, o rootkit será usado para instalar mais malware, às vezes, para criar um computador "zumbi" dentro de uma botnet Como um ataque de DoS pode derrubar o Twitter? [Tecnologia explicada] consulte Mais informação , ele pode ser usado para roubar chaves e senhas de criptografia ou uma combinação desses e de outros vetores de ataque.

Os rootkits no nível do carregador de inicialização (kit de inicialização) substituem ou modificam o carregador de inicialização legítimo pelo design de um de seus atacantes, afetando o Registro mestre de inicialização, o Registro de inicialização por volume ou outros setores de inicialização. Isso significa que a infecção pode ser carregada antes do sistema operacional e, portanto, pode subverter qualquer programa de detecção e destruição.

Seu uso está aumentando e os especialistas em segurança notaram vários ataques focados em serviços monetários, dos quais “Nemesis” é um dos ecossistemas de malware mais recentemente observados.

Um Nêmesis de Segurança?

Não, não é Jornada nas Estrelas filme, mas uma variante particularmente desagradável do kit de inicialização. O ecossistema de malware Nemesis vem com uma ampla variedade de recursos de ataque, incluindo transferências de arquivos, captura de tela, registro de pressionamento de tecla, injeção de processo, manipulação de processo e agendamento de tarefas. A FireEye, empresa de cibersegurança que detectou Nemesis pela primeira vez, também indicou que o malware inclui um sistema abrangente de suporte backdoor para uma variedade de protocolos de rede e canais de comunicação, permitindo maior comando e controle uma vez instalado.

Em um sistema Windows, o Master Boot Record (MBR) armazena informações relacionadas ao disco, como o número e o layout das partições. O MBR é vital para o processo de inicialização, contendo o código que localiza a partição primária ativa. Uma vez encontrado, o controle é passado para o Volume Boot Record (VBR), que reside no primeiro setor da partição individual.

O kit de inicialização do Nemesis seqüestra esse processo. O malware cria um sistema de arquivos virtual personalizado para armazenar componentes do Nemesis no espaço não alocado entre partições, seqüestrando o VBR original, substituindo o código original pelo próprio, em um sistema chamado "BOOTRASH".

“Antes da instalação, o instalador do BOOTRASH reúne estatísticas sobre o sistema, incluindo a versão e a arquitetura do sistema operacional. O instalador é capaz de implantar versões de 32 ou 64 bits dos componentes Nemesis, dependendo da arquitetura do processador do sistema. O instalador instalará o kit de inicialização em qualquer disco rígido que possua uma partição de inicialização MBR, independentemente do tipo específico de disco rígido. No entanto, se a partição usar a arquitetura de disco da tabela de partição GUID, em oposição ao esquema de particionamento do MBR, o malware não continuará com o processo de instalação. ”

Então, toda vez que a partição é chamada, o código malicioso injeta os componentes do Nemesis no Windows. Como um resultado, "O local de instalação do malware também significa que ele persistirá mesmo após a reinstalação do sistema operacional. sistema, amplamente considerado a maneira mais eficaz de erradicar o malware ”, deixando uma árdua luta por uma solução limpa sistema.

Curiosamente, o ecossistema de malware Nemesis inclui seu próprio recurso de desinstalação. Isso restauraria o setor de inicialização original e removeria o malware do seu sistema - mas só existe caso os invasores precisem remover o malware por conta própria.

Inicialização segura UEFI

O kit de inicialização Nemesis afetou amplamente as organizações financeiras, a fim de coletar dados e desviar fundos. O uso deles não surpreende o engenheiro técnico sênior de marketing da Intel, Brian Richardson, quem notas “Os bootkits e rootkits da MBR são um vetor de ataque de vírus desde os dias de“ Inserir disco em A: e pressione ENTER para continuar. ” Ele foi para explicar que, embora o Nemesis seja sem dúvida um malware extremamente perigoso, ele pode não afetar o seu sistema doméstico com tanta facilidade.

UEFI vs BIOS

Os sistemas Windows criados nos últimos anos provavelmente foram formatados usando uma Tabela de Partição GUID, com o firmware subjacente baseado em UEFI O que é o UEFI e como ele o mantém mais seguro?Se você inicializou seu PC recentemente, deve ter notado o acrônimo "UEFI" em vez de BIOS. Mas o que é UEFI? consulte Mais informação . A parte de criação do sistema de arquivos virtuais BOOTRASH do malware depende de uma interrupção de disco herdada que não existe em sistemas inicializando com UEFI, enquanto a verificação de assinatura UEFI Secure Boot bloquearia um kit de inicialização durante a inicialização processo.

Portanto, esses sistemas mais novos pré-instalados com o Windows 8 ou Windows 10 podem muito bem ser absolvidos dessa ameaça, pelo menos por enquanto. No entanto, ilustra um grande problema com grandes empresas que não atualizam seu hardware de TI. Essas empresas ainda usam o Windows 7 e em muitos lugares ainda usando o Windows XP, estão expondo a si e a seus clientes a um grande ameaça financeira e de dados Por que as empresas que mantêm uma violação de segredo podem ser uma coisa boaCom tantas informações on-line, todos nos preocupamos com possíveis violações de segurança. Mas essas violações podem ser mantidas em segredo nos EUA para protegê-lo. Parece loucura, então o que está acontecendo? consulte Mais informação .

O veneno, o remédio

Os rootkits são operadores complicados. Mestres da ofuscação, eles são projetados para controlar um sistema pelo maior tempo possível, coletando o máximo de informações possível durante esse período. As empresas de antivírus e antimalware tomaram nota e vários rootkits aplicativos de remoção estão agora disponíveis para os usuários O guia completo de remoção de malwareAtualmente, existe malware em todos os lugares e a erradicação de malware do sistema é um processo demorado, exigindo orientação. Se você acha que seu computador está infectado, este é o guia que você precisa. consulte Mais informação :

  • Malwarebytes Anti-Rootkit Beta
  • Kaspersky Lab TDSSKiller
  • Avast aswMBR
  • Bitdefender Anti-Rootkit
  • GMER - aplicação avançada que requer remoção manual

Mesmo com a chance de uma remoção bem-sucedida oferecida, muitos especialistas em segurança concordam que a única maneira ter 99% de certeza de que um sistema limpo é um formato de unidade completo - mantenha o sistema backup!

Você já experimentou um rootkit ou mesmo um bootkit? Como você limpou seu sistema? Deixe-nos saber abaixo!

Gavin é escritor sênior do MUO. Ele também é o editor e o gerente de SEO do site irmão da MakeUseOf, Blocks Decoded. Ele tem uma redação contemporânea BA (Hons) com práticas de arte digital saqueadas nas montanhas de Devon, além de mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá.