Rootkit Popureb.E wymusza reinstalację Windows
- Antoni Steliński,
- 28.06.2011, godz. 13:17
W Sieci pojawił się nowy rootkit, infekujący system Windows i wyjątkowo skutecznie broniący się przed próbami usunięcia z komputera. Rekomendowanym przez Microsoft sposobem przywrócenia komputera do stanu używalności jest... reinstalacja Windows.
Zobacz też:
"Jeśli system zostanie zainfekowany przez Popureb.E, rekomendowanym przez nas sposobem naprawienia Windows jest skorzystanie z funkcji przywracania ustawień fabrycznych [czyli de facto reinstalacji Windows - red.]" - stwierdził Chun Feng, specjalista z Microsoft Malware Protection Center.
Zobacz również:
Rootkity są często stosowane przez cyberprzestępców do ukrywania malware takiego jak np. konie trojańskie służące do kradzieży danych.
Popureb jest tak skuteczny głównie dlatego, że ukrywa się w MBR - obszarze, który jest praktycznie niewidoczny dla większości narzędzi systemowych oraz oprogramowania zabezpieczającego. Co więcej - rootkit został wyposażony w narzędzia, które umożliwiają mu zakłócenie pracy tych nielicznych aplikacji, które są w stanie usuwać złośliwe oprogramowanie z MBR. Szkodnik robi to w wyjątkowo sprytny sposób - zablokuje działanie aplikacji zabezpieczającej, zaś użytkownikowi zostanie wyświetlony komunikat o usunięciu zagrożenia (mimo iż operacja taka nie zostanie wykonana).
Warto przypomnieć, że to nie pierwszy poważny problem systemów Microsoftu z rootkitami - na początku 2010 r. atakował je złośliwy program o nazwie Alureon. Był jeszcze bardziej uciążliwy, potrafił bowiem nieodwracalnie uszkodzić system Windows XP (rootkit wywoływał osławiony "Niebieski Ekran Śmierci" - BSOD).
Sugerowana "kuracja" była wtedy bardzo podobna - usunięcie rootkita polegało na przywróceniu systemu Windows XP do ustawień fabrycznych.
Więcej informacji o nowym szkodniku (w tym instrukcję naprawienia MBR oraz przywrócenia Windows) znaleźć można w oficjalnym blogu Microsoft Malware Protection Center.
Zgodnie z aktualizacją opublikowaną na blogu Microsoft Malware Protection Center, usunięcie rootkita nie wymaga jednak reinstalacji systemu.
Microsoft zaleca by w zainfekowanym systemie naprawić rekord MBR za pomocą konsoli odzyskiwania systemu wg następującej procedury:
1. Należy otworzyć konsolę odzyskiwania systemu
instrukcje dla Windows XP, Vista, oraz Windows 7
2. skorzystać z narzędzia bootrec.exe pisząc w konsoli:
bootrec.exe /fixmbr
3. uruchomić ponownie komputer i przeskanować system usuwając pozostałe złośliwe oprogramowanie
Naprawa MBR jest zalecana również wtedy, jeśli zdecydujemy się na skorzystanie z funkcji przywracania systemu.