كيفية الكشف عن عدوى Alureon Rootkit 64 بت

• فئة: البرمجيات

جرب أداة القضاء على المشاكل

حدد نظام التشغيل Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro اختر برنامج الإسقاط (اختياريا) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

صف مشكلتك

إحصل على جواب

أرسل لي عبر البريد الإلكتروني عرض على الموقع

Alureon ، أو TDL و TLD3 و Tidserv ، هي أول مجموعة أدوات rootkit يمكنها إصابة أجهزة كمبيوتر Windows 64 بت. قبل ذلك ، تأثرت أنظمة 32 بت فقط بالجذور الخفية ، وأدرك العديد من مستخدمي Windows أنه في فبراير ، عندما تسبب التصحيح Microsoft MS10-015 في عرض الأجهزة المصابة شاشة زرقاء. من الواضح أنه لم يكن خطأ Microsoft في ذلك الوقت ، والذي افترضه لأول مرة المحترفون والمستخدمون على حد سواء. اتضح بعد بعض الأبحاث أن rootkit TLD3 كانت مسؤولة عن هذا السلوك.

لقد قام مطورو برنامج rootkit بتحسينه بشكل كبير منذ ذلك الحين ، وتمكنوا من إضافة القدرة على إصابة أنظمة Windows 64 بت. هذا هو الأول ، وبائعي الأمن قلقون بشأن هذا الاتجاه.

ومع ذلك ، فإن منفذي هذه الهجمات لم يرتاحوا. قبل أقل من شهر بقليل ، أصبحنا على دراية بنوع جديد من Alureon يصيب سجل التشغيل الرئيسي (MBR) بدلاً من برنامج التشغيل المصاب. على الرغم من أن هذا المتغير الجديد لم يؤثر على أجهزة 64 بت ، إلا أنه يحتوي على ملف خامل يسمى ldr64 كجزء من نظام الملفات الافتراضي الخاص به. في الآونة الأخيرة ، اكتشفنا متغيرًا محدثًا نجح في إصابة أجهزة 64 بت تعمل بنظام التشغيل Windows Vista أو أعلى ، مع جعل أجهزة Windows XP و Server 2003 64 بت غير قابلة للتمهيد.

أضافت العديد من شركات الأمان بالفعل الكشف عن متغير 64 بت إلى تطبيقات الأمان الخاصة بهم ، فقد أضافت Microsoft على سبيل المثال التوقيعات إلى Microsoft Security Essentials في بداية شهر أغسطس.

ومع ذلك ، قد يرغب مالكو Windows 64 بت في التحقق بأنفسهم من أن rootkit غير مثبت على نظام التشغيل الخاص بهم. كما تشير المعلومات أعلاه ، سيلاحظ مالكو Windows XP و Windows Server 2003 على الفور أن هناك خطأ ما ، لأن نظام التشغيل الخاص بهم سيفشل في التمهيد. يجب على مستخدمي Windows Vista أو Windows 7 64 بت القراءة.

يوجد خياران على الأقل للقيام بذلك ، كل ذلك باستخدام الأدوات المضمنة بالفعل في نظام التشغيل:

افتح موجه الأوامر ، باستخدام Windows-R ، أدخل cmd وأدخل.

استخدم الأمر القرص لفتح Diskpart في نافذة سطر أوامر جديدة.

أدخل اقرأ القول في الموجه الجديد ، إذا ظل فارغًا ، فسيُصاب الكمبيوتر بـ rootkit. إذا تم عرض الأقراص ، فهي ليست كذلك.

جيد

سيئة

الخيار الثاني للكشف عن rootkit 64 بت هو التالي: تشغيل إدارة الأقراص من جزء إدارة الكمبيوتر.

إذا لم تظهر الأقراص ، فهذا يعني أن النظام مصاب بالجذور الخفية. إذا أظهر الأقراص ، فكل شيء على ما يرام.

النظام المصاب

تتوفر معلومات إضافية في تكنيت و سيمانتيك .

كيفية إزالة Rootkit في حالة إصابة النظام:

العديد من البرامج قادرة على إزالة الجذور الخفية وإصلاح MBR بحيث يتم تمهيد النظام بشكل طبيعي بعد الإصلاح.

يمكن لـ Hitman Pro Beta 112 والإصدارات الأحدث القيام بذلك على سبيل المثال.