1. Strona główna
  2. Wiadomości

Rootkit Popureb.E wymusza reinstalację Windows

  • Antoni Steliński,

W Sieci pojawił się nowy rootkit, infekujący system Windows i wyjątkowo skutecznie broniący się przed próbami usunięcia z komputera. Rekomendowanym przez Microsoft sposobem przywrócenia komputera do stanu używalności jest... reinstalacja Windows.

Rootkit jest nową wersją znanego od pewngo czasu złośliwego programu o nazwie Popureb. Szkodnik potrafi wyjątkowo skutecznie ukryć się w systemie - swoje kopie zapisuje m.in. w głównym rekordzie startowym (MBR - Master Boot Record) dysku. Zdaniem specjalistów z Microsoft Malware Protection Center (MMPC), Popureb tak mocno ingeruje w Windows, że jedynym w pełni skutecznym sposobem naprawienia systemu jest przywrócenie "Okien" do stanu "poinstalacyjnego" (czyli ustawień fabrycznych).

"Jeśli system zostanie zainfekowany przez Popureb.E, rekomendowanym przez nas sposobem naprawienia Windows jest skorzystanie z funkcji przywracania ustawień fabrycznych [czyli de facto reinstalacji Windows - red.]" - stwierdził Chun Feng, specjalista z Microsoft Malware Protection Center.

Zobacz również:

Rootkity są często stosowane przez cyberprzestępców do ukrywania malware takiego jak np. konie trojańskie służące do kradzieży danych.

Popureb jest tak skuteczny głównie dlatego, że ukrywa się w MBR - obszarze, który jest praktycznie niewidoczny dla większości narzędzi systemowych oraz oprogramowania zabezpieczającego. Co więcej - rootkit został wyposażony w narzędzia, które umożliwiają mu zakłócenie pracy tych nielicznych aplikacji, które są w stanie usuwać złośliwe oprogramowanie z MBR. Szkodnik robi to w wyjątkowo sprytny sposób - zablokuje działanie aplikacji zabezpieczającej, zaś użytkownikowi zostanie wyświetlony komunikat o usunięciu zagrożenia (mimo iż operacja taka nie zostanie wykonana).

Warto przypomnieć, że to nie pierwszy poważny problem systemów Microsoftu z rootkitami - na początku 2010 r. atakował je złośliwy program o nazwie Alureon. Był jeszcze bardziej uciążliwy, potrafił bowiem nieodwracalnie uszkodzić system Windows XP (rootkit wywoływał osławiony "Niebieski Ekran Śmierci" - BSOD).

Sugerowana "kuracja" była wtedy bardzo podobna - usunięcie rootkita polegało na przywróceniu systemu Windows XP do ustawień fabrycznych.

Więcej informacji o nowym szkodniku (w tym instrukcję naprawienia MBR oraz przywrócenia Windows) znaleźć można w oficjalnym blogu Microsoft Malware Protection Center.

Aktualizacja: 29 czerwca 2011 14:57

Zgodnie z aktualizacją opublikowaną na blogu Microsoft Malware Protection Center, usunięcie rootkita nie wymaga jednak reinstalacji systemu.

Microsoft zaleca by w zainfekowanym systemie naprawić rekord MBR za pomocą konsoli odzyskiwania systemu wg następującej procedury:

1. Należy otworzyć konsolę odzyskiwania systemu

instrukcje dla Windows XP, Vista, oraz Windows 7

2. skorzystać z narzędzia bootrec.exe pisząc w konsoli:

bootrec.exe /fixmbr

3. uruchomić ponownie komputer i przeskanować system usuwając pozostałe złośliwe oprogramowanie

Naprawa MBR jest zalecana również wtedy, jeśli zdecydujemy się na skorzystanie z funkcji przywracania systemu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem IDGLicensing@theygsgroup.com