По свидетельству английской компании Prevx, руткит Mebroot продолжает активно распространяться по Сети и обрел еще один механизм самозащиты. Mebroot (называемый в ЛК буткитом, детектируется как Backdoor.Win32.Sinowal), заражает компьютеры пользователей через взломанные веб-сайты. Загружаемый им троянский компонент (Torpig, он же Sinowal и Anserin) ориентирован на кражу конфиденциальной информации и, используя руткит как платформу, реализует широкий спектр шпионских функций. Авторы Mebroot постоянно совершенствуют свое детище. Недавно они усилили его защиту от тех антивирусов и специализированных утилит, которые успешно его обнаруживают и пытаются вылечить систему. Чтобы обеспечить эффективное удаление данной вредоносной программы, некоторые антивирусные компании реализовали в своих продуктах мгновенную перезагрузку компьютера сразу после излечения зараженного MBR, причем реализовали это через вызов специальной функции ядра — BugCheck. В качестве меры противодействия новый вариант Mebroot теперь использует процедуру уведомления о вызове — специальную функцию обратного вызова callback — и в момент вызова перезагрузки имеет возможность проверить MBR. Если MBR вылечен, новый Mebroot восстанавливает зараженный MBR до перезагрузки системы. Как указывают эксперты, присутствие Mebroot можно самостоятельно обнаружить по наличию в подкаталоге %windir%\Temp файла, имя которого начинается с $$$. Татьяна Никитина опубликовано 17 мар 2010, 12:59 MSK http://www.securelist.com/ru/weblog/32492/Butkit_ne_khochet_lechitsya © ЗАО «Лаборатория Касперского», 1997-2010
Ключевое слово здесь Win32 и "пользователь ССЗБ, работающий под рутом". Только в чем "мировость" новости?
даже если и под юзером, то браузер, имеющий уязвимость, которая приводит к исполнению произвольного кода, будет виновным в заражении, а не юзер или ОС. Если не прав - поправьте
процесс запущенный с ограниченными правами не сможет выполнить инструкции которые ему не разрешены политиками безопасности. как и все его потомки
Я хотел сказать, что это не мировая новость. Или будем писать про каждый вирус под божественную ось, как редкое и уникальное событие?
Ну... не совсем. От имени какого пользователя работает браузер, который привел "к исполнению произвольного кода"? Браузер - это "пользовательское пространство" и порожденный процесс не должен был получить права рута, для того, чтобы писать в MBR. Если, конечно, браузер не работает из-под рута...
Не тупи, сплоитом на странице грузится пакет из сплоита и самого буткита, запускается локальный сплоент для повышения привелегий, который уже запускает буткит.