Hur man upptäcker en 64-bitars Alureon Rootkit-infektion

• Kategori: Programvara

Prova Vårt Instrument För Att Eliminera Problem

Välj Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Välj Ett Projektprogram (Valfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Ditt Problem

Få Svar

Skicka Mig Via E -Post Visa På Webbplatsen

Alureon, eller TDL, TLD3 och Tidserv, är den första rootkit som kan infektera 64-bitars Windows-datorer. Innan dess påverkades endast 32-bitars-system av rootkits, och många Windows-användare insåg att i februari, när Microsoft patch MS10-015 fick infekterade maskiner att visa en blå skärm. Det var uppenbarligen inte Microsofts fel då, vilket först antogs av både professionella och användare. Det visade sig efter en del forskning att TLD3 rootkit var ansvarig för det beteendet.

Utvecklarna av rootkit har förbättrat den avsevärt sedan dess och lyckats lägga till möjligheten att infektera 64-bitars Windows-system. Det är en första, och säkerhetsleverantörer är oroade över den trenden.

Författarna till dessa attacker har emellertid inte vilat. För knappt en månad sedan blev vi medvetna om en ny variant av Alureon som infekterar Master Boot Record (MBR) istället för en infekterad drivrutin. Även om denna nya variant inte påverkade 64-bitars maskiner hade den en inert fil som heter ldr64 som en del av dess virtuella filsystem. På senare tid upptäckte vi en uppdaterad variant som framgångsrikt infekterade 64-bitars maskiner som kör Windows Vista eller högre, samtidigt som 64-bitars Windows XP och Server 2003-maskiner inte kan startas.

Många säkerhetsföretag har redan lagt till upptäckt av 64-bitarsvarianten till sina säkerhetsapplikationer, till exempel Microsoft lagt till signaturer till Microsoft Security Essentials i början av augusti.

Fortfarande kanske Windows 64-bitars ägare vill verifiera att rootkit inte är installerat på deras operativsystem. Som informationen ovan antyder kommer Windows XP och Windows Server 2003 ägare omedelbart att märka att något är fel eftersom deras operativsystem inte kan starta. Windows Vista eller Windows 7 64-bitars användare bör läsa vidare.

Det finns minst två alternativ att göra det, alla med verktyg som redan ingår i operativsystemet:

Öppna en kommandotolk med Windows-R, ange cmd och ange.

Använd kommandot diskpart för att öppna Diskpart i ett nytt kommandoradsfönster.

Stiga på läs säga i den nya prompten, om den förblir tom, är datorn infekterad med rootkit. Om skivorna visas är det inte.

Bra

Dålig

Det andra alternativet för att upptäcka 64-bitars rootkit är följande: Starta Diskhantering från panelen Computer Management.

Om det inte visar skivor betyder det att systemet är infekterat med rootkit. Om det visar skivor är allt bra.

Infected System

Ytterligare information finns på Technet och Symantec .

Hur man tar bort rootkit om systemet är infekterat:

Flera program kan ta bort rootkit och reparera MBR så att systemet startar normalt efter reparationen.

Hitman Pro Beta 112 och senare kan göra det till exempel.