Что такое Буткит / Bootkit


Буткит (Bootkit) (от англ. boot — загрузка и kit — набор инструментов) — это вредоносная программа, осуществляющая модификацию загрузочного сектора MBR (Master Boot Record) — первого физического сектора на жёстком диске.

Буткит используется вредоносами для получения максимальных привилегий в операционных системах. Он также может получить права администратора и выполнять любые вредоносные действия. Например, загрузить в память несуществующую на жестком диске динамическую библиотеку DLL. Такую библиотеку очень трудно обнаружить обычными методами, используемыми антивирусами.

 Распространяется буткит через:

  • взломанные сайты;
  • порноресурсы;
  • сайты, с которых можно загрузить пиратское ПО.


При посещении пользователем зараженной страницы, у него на компьютере начинает выполняться специальный скрипт, который на основании даты, установленной на компьютере, генерирует имя сайта, на который необходимо перенаправить пользователя для получения "персонального" эксплойта.


Заражение
При запуске инсталлятор записывает зашифрованное тело буткита в последние сектора жесткого диска, находящиеся за пределами используемого операционной системой дискового пространства. Для обеспечения автозагрузки буткит заражает MBR компьютера, записывая в него свой начальный загрузчик, который до старта операционной системы считывает с диска и разворачивает в памяти основное тело руткита, после чего отдает управление ОС и контролирует процесс ее загрузки. Буткит можно рассматривать как гибрид между вирусом и типом загрузочного сектора.

Обнаружить и ликвидировать буткит штатными средствами довольно сложно, так как при обращении к зараженным объектам он "подставляет" оригинальные копии. Кроме того, основное тело вредоносной программы не присутствует на файловой системе, а расположено в неиспользованной части диска за границей последнего раздела. Вредоносная программа загружает драйвер самостоятельно, без помощи операционной системы. Сама же операционная система не подозревает о наличии драйвера.

Обнаружение и лечение данного буткита является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. Способом борьбы с буткитами является загрузка системы с любого съемного неинфицированного носителя, чтобы избежать основной загрузки вируса после включения компьютера.