Хакер Алекс Вебер (Alex Weber) опубликовал маленькую утилиту Evil Maid CHKDSK. Программа размером всего 512 байт прописывается в MBR и выдаёт себя за стандартную утилиту CHKDSK.

Название программы является отсылкой к известной разработке Джоанны Рутковской и Алекса Терешкина Evil Maid. Тогда, в 2009-м году они продемонстрировали, как можно легко и эффективно извлечь информацию с полностью зашифрованного диска: достаточно всего лишь загрузить компьютер с USB-флэшки, которая подсаживет в систему сниффер. Тот, в свою очередь, записывает пароль пользователя, сохраняет его где-нибудь на диске или передаёт по Сети.

Атака с помощью Evil Maid CHKDSK осуществляется по схожему принципу: злоумышленник должен загрузить компьютер жертвы со своей USB-флэшки, после чего Evil Maid CHKDSK прописывается в MBR. Как известно, операционная система Windows зачастую запускает стандартную утилиту CHKDSK для проверки диска. Здесь и вступает в дело вредоносная программка: она запускается под видом обычной CHKDSK, но с одним отличием: программа спрашивает пользовательский пароль. Если пользователь вводит пароль, программа сохраняет его — и позволяет Windows продолжить загрузку.

Алекс Вебер говорит, что, в принципе, программу можно запустить перед любой операционной системой, она использует стандартные прерывания PC BIOS и ассемблер, подходящий для любой системы на платформе x86/x86-64.


Видеофайл, flv



1 комментарий

  1. Int

    22.10.2015 at 15:30

    Я бы удивился, если бы увидел виндовый чекдиск, который запрашивает у меня пароль от винды.

Оставить мнение