Буткіт

Буткіт (англ. Bootkit) — це програмне забезпечення з родини руткітів, головною особливістю якого є зміна завантажувача операційної системи, найчастіше - завантажувального сектора (MBR) жорсткого диску. Відомі представники цієї родини − Backdoor.Win32.Sinowal, Mebroot.

Призначення

Використовується, як й інші руткіти, для отримання максимальних привілеїв в операційних системах. Буткіт здатний отримати права адміністратора (суперкористувача) і виконати будь-які шкідницькі дії. Наприклад, він здатний завантажити в пам'ять динамічну бібліотеку DLL, якої взагалі не існує на диску. Цю бібліотеку складно виявити звичайними шляхами, що їх використовують антивіруси.

Шляхи поширення

Оскільки буткіти є лише складовою зловмисного програмного забезпечення, тому шлях їхнього поширення залежить від того, із яким саме ПЗ воно пов'язане. Найчастіше буткіти розповсюджуються у зв'язці із троянськими конями, тому шляхи поширення буткітів такі ж самі, як і в троянців.

Зараження

Записує зашифроване тіло буткіта на останні сектори жорсткого диску, які знаходяться за межею дискового простору, що використовується операційною системою. Для забезпечення власного завантаження при старті комп'ютера, буткіт заражає завантажувальний блок (сектор завантаження) дискового пристрою комп'ютера (зазвичай, жорсткий диск), записуючи в нього свій початковий завантажувач, який спочатку розшифровує головне тіло буткіта й передає на нього керування. А потім вже буткіт передає керування до операційної системи і керує її завантаженням.

Виявлення та лікування

Ця родина зловмисних програм поводить себе непомітно, на зараженій системі його неможливо виявити штатними засобами, оскільки при зверненні до заражених об'єктів він «підставляє» оригінальні копії. До того ж, головне тіло зловмисної програми (драйвер ядерного рівня) не присутнє в файловій системі, а розташоване в невикористаній частині диску за межею останнього розділу. Операційна система може навіть не знати про наявність драйвера. Виявлення й лікування буткітів є одним із найскладніших завдань для антивірусної індустрії. Найдієвішим способом боротьби із буткітами є завантаження системи з довільного неінфікованого з'ємного носія, для запобігання передачі керування вірусному коду, і вже тоді запуск антивіруса.

Див. також

• Завантажувальний вірус
• Сектор завантаження

Посилання

• «Лаборатория Касперского» публикует аналитическую статью «Буткит 2009» [Архівовано 4 березня 2016 у Wayback Machine.]
• Backdoor.Win32.Sinowal
• «Лаборатория Касперского»: лечение зараженной системы от буткита утилитой TDSSKiller [Архівовано 26 червня 2012 у Wayback Machine.]