Вирусы, заражающие MBR, существуют давно: они появились уже во времена MS-DOS, когда мы с тобой играли в Doom 2 и были молодыми и красивыми. В последние несколько лет они снова подняли голову — теперь все их боятся и называют модным словом «буткиты». А что говорят по этому поводу товарищи антивирусы? Могут ли они бороться с такими угрозами? Вот это-то мы и проверим!

Лог сканирования Outpost Security Suite Pro 7.5
Лог сканирования Outpost Security Suite Pro 7.5

С угрозами в MBR’е и Boot-секторе у нас сегодня будут сражаться пять продуктов:

  1. BitDefender Internet Security 2012 — в последнее время этот антивирус здорово набрал обороты, к тому же движок BitDef покупают несколько сторонних компаний. Интересно посмотреть, что он из себя представляет.
  2. ESET NOD32 Smart Security 5 — тут и комментировать нечего, это второй по популярности антивирус в России после «Каспера».
  3. F-Secure Internet Security 2012 — достаточно известный продукт финской секьюрити-компании.
  4. Outpost Security Suite Pro 7.5 — продукт от компании Agnutim, которая делает классный файервол. Между прочим, халявный файервол от Outpost в свое время пользовался в нашей стране огромной популярностью. Пожалуй, сейчас его место в наших сердцах занял тоже халявный и всесторонне могучий Comodo.
  5. Rising Internet Security — антивирус от китайской компании Rising. Посмотрим, на что способны китайцы.
Детектирование Sinowal’а NOD’ом
Детектирование Sinowal’а NOD’ом
 

Let the contest begin

Первым делом я заразил Windows XP SP3 на VmWare буткитом Sinowal, который известен, обрати внимание, аж с 2009 года. Затем я с помощью Hiew убедился, что MBR действительно изменен, и стал поочерёдно устанавливать все продукты и сканировать (или пытаться сканировать) систему.

MBR, заражённый Sinowal’ом_cr
MBR, заражённый Sinowal’ом
Модифицированный код MBR
Модифицированный код MBR

Тестирование я начал с BitDefender’а. Для меня стало неожиданностью, что этот антивирус вообще не смог установиться! На середине установки он предложил мне перезагрузить компьютер, а после перезагрузки открылось окно установщика (и по совместительству downloader’а), прогресс-бар в котором показывал 55 %. По прошествии некоторого времени эта цифра так и не изменилось. По-видимому, установленный Sinowal помешал BitDefender’у, что весьма грустно.

Ну а следующий испытуемый — NOD32 — не подвёл. Он успешно обнаружил не только сам дроппер в temp’е, но ещё и выявил заражение MBR’а. Очень радует, что этот популярный в России антивирус способен справляться с достаточно серьёзными угрозами.

Антивирус F-Secure Internet Security также успешно разобрался с буткитом и обозвал его Win32/Mebroot, как и NOD32. Любопытно, что в столбце «Объект» в GUI указано просто «Заражение системы». По-видимому, разработчики решили не пугать пользователей страшными названиями вроде MBR и «загрузочный сектор». 🙂 А вот Outpost несколько разочаровал: он обнаружил только файловые компоненты Sinowal’а, а заражённый MBR пропустил. Пожалуй, продукт от Agnitum — это все-таки в первую очередь файервол, а не антивирус.

Rising вообще не удалось привести в работоспособное состояние. Я несколько раз пытался установить и нормально запустить китайское изделие, но потерпел неудачу. Сначала я было подумал, что проблема в VmWare, но оказалось, что это не так (подробнее читай дальше). По-видимому, именно Sinowal не дал антивирусу инсталлироваться.

Срабатывание F-Secure Internet Security на Sinowal_cr

 

Еще один буткит: Ghodow

После того, как все пять антивирусов были протестированы на системе, заражённой Sinowal’ом, я решил откатиться к чистому снэпшоту и запустить дроппер другого буткита. Хотя второй буткит не так широко известен, как Sinowal, антивирусы всё равно должны его детектировать, поскольку это злой вирус, который делает в системе много чего нехорошего. Называется он Win32/Ghodow.NAD (по данным ESET). В дальнейшем я буду называть его просто Ghodow.

Антивирус BitDefender снова постиг провал: на этот раз он не прошёл даже первый этап установки — «Сканировать системные файлы на наличие вирусов». Мастер установки предлагал мне несколько раз перезагрузить компьютер, загрузиться в BitDefender Rescue Mode, который представляет собой *nix-систему с антивирусным сканером, и выполнить многие другие действия. Однако в конечном итоге установщик выдал примерно такое лаконичное сообщение: «Установить BitDefender не удалось».

Сообщения, выдаваемые при запуске R Окно срабатывания ESET Smart Security 5 на буткит Ghodow ising Internet Securit
Сообщения, выдаваемые при запуске R Окно срабатывания ESET Smart Security 5 на буткит Ghodow ising Internet Security

Ну а NOD32 и здесь не подкачал: он успешно обнаружил второй буткит в «MBR-секторе физического диска 0».

Окно срабатывания ESET Smart Security 5 на буткит Ghodow
Окно срабатывания ESET Smart Security 5 на буткит Ghodow

Но того, что произошло дальше, я совсем не ожидал. Ни один из трёх оставшихся антивирусов не смог обнаружить заразу в MBR’е, хотя каждый из них корректно установился и обновился. Более того, я пробовал различные варианты сканирования — от quick/поверхностного до руткит-сканирования системы. Однако ни один из них не привел к положительному результату, были обнаружены только компоненты буткита в файловой системе, что, конечно, не радует.

Окно установщика BitDefender 2012
Окно установщика BitDefender 2012
Установка BitDefender 2012
Установка BitDefender 2012
Окно успешно установленного BitDefender, только что просканировавшего компьютер
Окно успешно установленного BitDefender, только что просканировавшего компьютер
 

Попробуем по-своему

Однако руки мои продолжали чесаться, и я решил не останавливаться на достигнутом и сделать нестандартный MBR. Я написал в Hiew небольшой код, который копировал область памяти размером 0x200 с адреса 0x200 на адрес 0x1000 и передавал туда управление. Код, конечно, безвредный, но мне было любопытно, как отреагируют антивирусы на нестандартный MBR. Стоит отметить, что в этом случае и BitDefender, и Rising успешно установились, обновились и заработали. Таким образом, моё предположение о том, что установленные буткиты могут мешать инсталляции антивирусов, подтвердилось.

Оказалось, что измененный MBR совершенно не трогает железные сердца антивирусов. Таким образом, я предположил, что буткиты детектируются обычными сигнатурами и сделать вредоносный MBR, который бы не обнаруживался, совсем не проблема. Для проверки я проделал аналогичную операцию с кодом NTFS-загрузчика (по сути, с кодом бут-сектора) и получил тот же результат.

 

Заключение

Какие можно сделать выводы по результатам теста? Антивирусы недостаточно хорошо детектируют буткиты. На компьютер, инфицированный буткитом, встанет не каждый антивирусный продукт. Так что держись и, главное, не забывай перед выключением компьютера в дисководе А: сомнительные дискеты ;).

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии