Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
Ostatnie posty
Najpopularniejsze

Żadnej taryfy ulgowej dla szkodnika ExPetr

Kaspersky Lab
Dodany 14 lipca 2017, 12:00 CEST
Tagi:

Ostatnio dyskutowano o tym, że w przypadku zainstalowania naszego produktu, szkodnik ExPetr nie zapisze specjalnego szkodliwego kodu, który szyfruje MFT, do rekordu MBR. Niektórzy wietrzyli tu nawet konspirację. Inni wykazywali, że to nonsens. Jak zwykle, Vesselin Bontchev, legenda w dziedzinie bezpieczeństwa IT, który znany jest z tego, że zwykle potrafi trafić w sedno, wyraził to najlepiej:

NoFreePassforExPetr_01_auto.png

[Bzdura. To powoduje dokładnie to samo co w przypadku wystąpienia błędu podczas próby zainfekowania rekordu MBR. Widzicie ten fragment po „or („II”)” w ostatnim warunku (if).]

O co tu chodzi? Jak powiedział kiedyś ktoś mądry „kod nie kłamie”, przeanalizujmy więc szczegółowo kod infekcji dysku MBR/czyszczenia ExPetra.

W skrócie, szkodnik wykonuje następujące działania:

  1. Sprawdza uprawnienia administratora
  2. Wylicza uruchomione procesy
  3. W zależności od znalezionych procesów, inicjuje specjalną konfigurację środowiska uruchomieniowego  
  4. W...