Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Новости IT Dr.Web обнаружил первый буткит для Android RSS

Dr.Web обнаружил первый буткит для Android

Текущий рейтинг: 4.55 (проголосовало 11)
 Посетителей: 1754 | Просмотров: 1992 (сегодня 0)  Шрифт: - +

Российская компания “Доктор Веб”, специализирующаяся на создании продуктов в сфере информационной безопасности, сообщила об обнаружении первого буткита для операционной системы Android.

Буткиты — один из сложнейших для обнаружения и удаления типов вредоносных программ, которые “проживают” не в пределах операционной системы, а в прошивках загрузчика или средств восстановления, инфицируя пользовательскую систему на начальном процессе загрузки операционной системы. Таким образом, даже если пользователю удастся вылечить или удалить инфицированные файлы, то при последующей перезагрузке буткит вновь заразит систему, и всё начнётся сначала.

Буткит под названием Android.Oldboot.1 начинает свою работу ещё на этапе инициализации ядра Linux, запуская специальную библиотеку, которая проводит установку специального приложения и сопутствующей службы в системный раздел Android. При завершении загрузки, служба-троян продолжает работать в фоновом режиме и при подключении к Интернету устанавливает соеденинение с удалённым сервером, который по команде злоумышленника может начать загрузку приложений или удалить пользовательские данные, включая приложения.

*
Увеличить рисунок

Учитывая архитектуру операционной системы Android, где пользовательское окружение работает в виртуальной машине Dalvik, а пользователь не имеет доступа к системной области, то удалить компоненты трояна фактически невозможно. Если даже пользователь сможет получить права суперпользователя, и выдать их некоторым антивирусным продуктам для работы, то удаление трояна не приведёт к излечению, так как буткит из области загрузчика, недоступного из Android даже с правами суперпользователя, снова установит троян при первой перезагрузке.

Заразиться буткитом тоже невозможно обычными способами. Пользователь либо должен сам установить заражённый загрузчик, что является весьма нетривиальной задачей, требующей хорошей технической подготовки, либо этот буткит устанавливается производителем устройства на заводе. По данным “Доктор Веб” около 92% из 350 тысяч заражённых устройств географически находятся в Китае, поэтому второй вариант всё же более вероятен, так как производством Android-устройств в Поднебесной занимается огромное количество компаний, и нет никаких гарантий, что все они преследуют добрые намерения. Впрочем, в России тоже обнаружено около 1300 таких устройств, поэтому необходимо сохранять бдительность.

*
География распространения буткита

В “Доктор Веб” сообщают, что вылечить буткит средствами системы и антивирусных программ невозможно, поэтому рекомендуют выполнять ряд профилактических мер. Во-первых, избегать покупки устройств неизвестного присхождения, будь то неизвестные фирмы-производители или просто приобретение даже брендового устройства на вторичном рынке. Во-вторых, не прибегать к разблокировке загрузчика устройства и установке альтернативных прошивок из недоверенных источников. Единственным методом удаления буткита является установка неинфицированного загрузчика, существование которого возможно лишь теоретически, так как в компании не имеют точных данных об этом.

Автор: Анжел Божинов  •  Иcточник: news.drweb.com  •  Опубликована: 29.01.2014
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
29.01.2014/15:35  CastieI

А если сделать вайп+перепрошить, можно избавиться от буткита?
30.01.2014/00:48  Adanedhil

@Castiel
У "Доктор Веб" как-то всё не очень понятно описано. Я так понимаю, что их специалисты имеют в виду, что вредонос находится в bootloader, который нужно прошивать отдельно. То есть, просто вайп и прошивка, например, CyanogenMod не поможет никак. Надо прошивать новый загрузчик, а при неудачной процедуре можно получить хардбрик.
Комментарии отключены. С вопросами по статьям обращайтесь в форум.