Vad är en Bootkit och är Nemesis ett äkta hot?

Vad är en Bootkit och är Nemesis ett äkta hot?

Hotet att ta upp ett virus är mycket verkligt. Allmänna närvaron av osynliga krafter som arbetar för att attackera våra datorer, för att stjäla våra identiteter och raida våra bankkonton är en konstant, men vi hoppas att med rätt mängd tekniknus och en liten lycka till, allt kommer att bli okej.





skillnaden mellan xbox live och xbox live gold

Men lika avancerade som antivirusprogram och annan säkerhetsprogramvara, fortsätter potentiella angripare att hitta nya djävulska vektorer för att störa ditt system. Bootkiten är en av dem. Även om det inte är helt nytt för skadlig programvara har det varit en allmän ökning av deras användning och en klar intensifiering av deras kapacitet.



Låt oss titta på vad en bootkit är, undersöka en variant av bootkit, Nemesis och överväga vad du kan göra för att vara tydlig .





Vad är en Bootkit?

För att förstå vad en bootkit är, förklarar vi först var terminologin kommer ifrån. En bootkit är en variant av en rootkit, en typ av skadlig kod med möjlighet att dölja sig från ditt operativsystem och antivirusprogram. Rootkits är notoriskt svåra att upptäcka och ta bort. Varje gång du startar upp ditt system kommer rootkiten att ge en angripare kontinuerlig root-nivå åtkomst till systemet.

En rootkit kan installeras av olika anledningar. Ibland kommer rootkiten att användas för att installera mer skadlig kod, ibland kommer den att användas för att skapa en 'zombie' -dator i ett botnät, den kan användas för att stjäla krypteringsnycklar och lösenord, eller en kombination av dessa och andra attackvektorer.



Boot-loader-nivå (bootkit) rootkits ersätter eller ändrar den legitima boot-loader med en av dess angripares design, vilket påverkar Master Boot Record, Volume Boot Record eller andra startsektorer. Detta innebär att infektionen kan laddas innan operativsystemet, och därmed kan undergräva alla upptäcka och förstöra program.

Deras användning ökar, och säkerhetsexperter har noterat ett antal attacker inriktade på monetära tjänster, varav 'Nemesis' är ett av de senast observerade skadliga ekosystemen.



En säkerhets Nemesis?

Nej, inte a Star Trek film, men en särskilt otäck variant av bootkit. Nemesis skadliga ekosystem har ett brett spektrum av attackfunktioner, inklusive filöverföringar, skärmdump, knapptryckningsloggning, processinjektion, processmanipulation och schemaläggning av uppgifter. FireEye, cybersäkerhetsföretaget som först upptäckte Nemesis, indikerade också att skadlig programvara innehåller ett omfattande system med bakdörrstöd för en rad nätverksprotokoll och kommunikationskanaler, vilket möjliggör större kommando och kontroll när den är installerad.

I ett Windows -system lagrar Master Boot Record (MBR) information om disken, till exempel antal och layout för partitioner. MBR är avgörande för startprocessen och innehåller koden som lokaliserar den aktiva primära partitionen. När detta har hittats överförs kontrollen till Volume Boot Record (VBR) som ligger på den första sektorn i den enskilda partitionen.



Nemesis bootkit kapar denna process. Skadlig programvara skapar ett anpassat virtuellt filsystem för att lagra Nemesis -komponenter i det odelade utrymmet mellan partitioner, kapa den ursprungliga VBR genom att skriva över den ursprungliga koden med sin egen, i ett system som kallas 'BOOTRASH.'

'Innan installationen samlar BOOTRASH -installationsprogrammet in statistik om systemet, inklusive operativsystemets version och arkitektur. Installationsprogrammet kan distribuera 32-bitars eller 64-bitars versioner av Nemesis-komponenterna beroende på systemets processorarkitektur. Installationsprogrammet kommer att installera bootkiten på alla hårddiskar som har en MBR -startpartition, oavsett den specifika typen av hårddisk. Men om partitionen använder GUID Partition Table -diskarkitekturen, i motsats till MBR -partitionsschemat, kommer skadlig programvara inte att fortsätta med installationsprocessen. '

Varje gång partitionen anropas injicerar den skadliga koden de väntande Nemesis -komponenterna i Windows. Som ett resultat , 'skadlig platsens installationsplats innebär också att den kommer att bestå även efter ominstallation av operativsystemet, allmänt ansett som det mest effektiva sättet att utrota skadlig kod,' vilket ger en uppförsbacke för ett rent system.

Roligt nog innehåller Nemesis malware ekosystem en egen avinstallationsfunktion. Detta skulle återställa den ursprungliga startsektorn och ta bort skadlig programvara från ditt system - men är bara där om angriparna behöver ta bort skadlig programvara på egen hand.

UEFI Secure Boot

Nemesis bootkit har i hög grad påverkat finansiella organisationer för att samla in data och häva pengar bort. Deras användning överraskar inte Intel: s tekniska marknadsföringsingenjör, Brian Richardson , WHO anteckningar 'MBR bootkits & rootkits har varit en virusangreppsvektor sedan' Insert Disk in A: 'och tryck ENTER för att fortsätta.' Han fortsatte med att förklara att även om Nemesis utan tvekan är en oerhört farlig del av skadlig kod, kan det inte påverka ditt hemsystem så lätt.

Windows 10 arbetar långsamt med uppdateringar

Windows -system som skapats under de senaste åren kommer sannolikt att ha formaterats med en GUID -partitionstabell, med den underliggande firmware baserad på UEFI. BOOTRASH -skapandet av virtuella filsystem av skadlig programvara bygger på ett äldre diskavbrott som inte finns på system som startar med UEFI, medan UEFI Secure Boot -signaturkontroll skulle blockera en bootkit under startprocessen.

Så de nyare systemen som är förinstallerade med Windows 8 eller Windows 10 kan mycket väl bli befriade från detta hot, åtminstone nu. Det illustrerar dock ett stort problem med stora företag som inte uppdaterar sin IT -hårdvara. De företagen använder fortfarande Windows 7 och på många ställen fortfarande använder Windows XP, utsätter sig och sina kunder för ett stort ekonomiskt hot och datahot.

Giftet, botemedlet

Rootkits är knepiga operatörer. Mästare i fördunklighet, de är utformade för att styra ett system så länge som möjligt och skörda så mycket information som möjligt under den tiden. Antivirus- och antimalware -företag har noterat och ett antal rootkit borttagningsprogram är nu tillgängliga för användare :

Även om chansen till ett framgångsrikt borttagande erbjuds, är många säkerhetsexperter överens om att det enda sättet att vara 99% säker på ett rent system är ett komplett enhetsformat - så se till att ha ditt system säkerhetskopierat!

Har du upplevt en rootkit eller till och med en bootkit? Hur städade du upp ditt system? Låt oss veta nedan!

Dela med sig Dela med sig Tweet E-post 3 sätt att kontrollera om ett e -postmeddelande är riktigt eller falskt

Om du har fått ett e -postmeddelande som ser lite tveksamt ut är det alltid bäst att kontrollera dess äkthet. Här är tre sätt att se om ett e -postmeddelande är sant.

Läs Nästa Relaterade ämnen
  • säkerhet
  • Diskpartition
  • Dataintrång
  • Datorsäkerhet
  • Skadlig programvara
Om författaren Gavin Phillips(945 artiklar publicerade)

Gavin är Junior Editor för Windows och Technology Explained, en regelbunden bidragsgivare till den riktigt användbara podden och en vanlig produktgranskare. Han har en BA (Hons) samtidsskrivning med digital konstpraxis från Devons kullar, liksom över ett decennium av professionell skrivarupplevelse. Han njuter av stora mängder te, brädspel och fotboll.

Mer från Gavin Phillips

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e -böcker och exklusiva erbjudanden!

Klicka här för att prenumerera