Rootkit Popureb.E wymusza reinstalację Windows

W Sieci pojawił się nowy rootkit, infekujący system Windows i wyjątkowo skutecznie broniący się przed próbami usunięcia z komputera. Rekomendowanym przez Microsoft sposobem przywrócenia komputera do stanu używalności jest... reinstalacja Windows.

Rootkit jest nową wersją znanego od pewngo czasu złośliwego programu o nazwie Popureb. Szkodnik potrafi wyjątkowo skutecznie ukryć się w systemie - swoje kopie zapisuje m.in. w głównym rekordzie startowym (MBR - Master Boot Record) dysku. Zdaniem specjalistów z Microsoft Malware Protection Center (MMPC), Popureb tak mocno ingeruje w Windows, że jedynym w pełni skutecznym sposobem naprawienia systemu jest przywrócenie "Okien" do stanu "poinstalacyjnego" (czyli ustawień fabrycznych).

"Jeśli system zostanie zainfekowany przez Popureb.E, rekomendowanym przez nas sposobem naprawienia Windows jest skorzystanie z funkcji przywracania ustawień fabrycznych [czyli de facto reinstalacji Windows - red.]" - stwierdził Chun Feng, specjalista z Microsoft Malware Protection Center.

Zobacz również:

  • Bezpieczeństwo Windows Hello - czy jest się czym martwić?

Rootkity są często stosowane przez cyberprzestępców do ukrywania malware takiego jak np. konie trojańskie służące do kradzieży danych.

Popureb jest tak skuteczny głównie dlatego, że ukrywa się w MBR - obszarze, który jest praktycznie niewidoczny dla większości narzędzi systemowych oraz oprogramowania zabezpieczającego. Co więcej - rootkit został wyposażony w narzędzia, które umożliwiają mu zakłócenie pracy tych nielicznych aplikacji, które są w stanie usuwać złośliwe oprogramowanie z MBR. Szkodnik robi to w wyjątkowo sprytny sposób - zablokuje działanie aplikacji zabezpieczającej, zaś użytkownikowi zostanie wyświetlony komunikat o usunięciu zagrożenia (mimo iż operacja taka nie zostanie wykonana).

Warto przypomnieć, że to nie pierwszy poważny problem systemów Microsoftu z rootkitami - na początku 2010 r. atakował je złośliwy program o nazwie Alureon. Był jeszcze bardziej uciążliwy, potrafił bowiem nieodwracalnie uszkodzić system Windows XP (rootkit wywoływał osławiony "Niebieski Ekran Śmierci" - BSOD).

Sugerowana "kuracja" była wtedy bardzo podobna - usunięcie rootkita polegało na przywróceniu systemu Windows XP do ustawień fabrycznych.

Więcej informacji o nowym szkodniku (w tym instrukcję naprawienia MBR oraz przywrócenia Windows) znaleźć można w oficjalnym blogu Microsoft Malware Protection Center.

Aktualizacja: 29 czerwca 2011 14:57

Zgodnie z aktualizacją opublikowaną na blogu Microsoft Malware Protection Center, usunięcie rootkita nie wymaga jednak reinstalacji systemu.

Microsoft zaleca by w zainfekowanym systemie naprawić rekord MBR za pomocą konsoli odzyskiwania systemu wg następującej procedury:

1. Należy otworzyć konsolę odzyskiwania systemu

instrukcje dla Windows XP, Vista, oraz Windows 7

2. skorzystać z narzędzia bootrec.exe pisząc w konsoli:

bootrec.exe /fixmbr

3. uruchomić ponownie komputer i przeskanować system usuwając pozostałe złośliwe oprogramowanie

Naprawa MBR jest zalecana również wtedy, jeśli zdecydujemy się na skorzystanie z funkcji przywracania systemu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200