Новый руткит Popureb делает Windows неработоспособной
29.06.2011
Microsoft накануне предупредила пользователей Windows о том, что им придется переустанавливать операционную систему, если их компьютер будет инфицирован новым руткитом, который скрывает от операционной системы главный загрузочный сектор. Речь идет о новом варианте троянца Popureb, который так глубоко размещается в системе, что единственная возможность полностью восстановить систему - это переустановить Windows или воспользоваться диском восстановления.
"Если ваша система была инфицирована Trojan:Win32/Popureb.E, мы советуем вам восстановить MBR при помощи CD восстановления, возвращающего систему к заводским настройкам", - говорит Чан Фенг, инженер Microsoft Windows Protection Center.
Вредоносное ПО Popureb перезаписывает загрузочный сектор - место жесткого диска, которое операционная система начинает считывать в первую очередь после того, как получает управление от BIOS. Popureb отлавливает операции записи, ориентированные на MBR, после чего размещает там свой код. Троянец имитирует часть системных функций операционной системы и размещается в бут-секторе, оставаясь невидимым как для операционной системы, так и для антивирусного ПО.
Сейчас на сайте Windows Protection Center размещены инструкции по восстановлению MBR для операционных систем XP, Vista и Windows 7.
Фенг говорит, что в основном троянцы подобного рода размещаются в системе для последующего заражения систем другими образцами вредоносного ПО. В начале 2010 года был зафиксирован троянский код Alureon, направленный на Windows XP и делающей ОС неработоспособной после установки апдейтов из Windows Update.
