پيشنهاد جديد مايكروسافت برای حذف MBR rootkit

شماره: IRCNE2011071168
تاريخ: 11/4/90

مايكروسافت اعلام كرد كه نيازي به نصب مجدد ويندوز براي حذف بدافزار مخفي نيست، اما يك متخصص بت نت با اين موضوع مخالف است. مايكروسافت پيشنهاد خود را براي كاربران آلوده به rootkit جديد و پيچيده كه خود را در سكتور بوت هارد پنهان مي كند، روشن كرد. بيشتر محققان امنيت با اين تجديد نظر موافقند، اما يك متخصص برجسته بت نت ها شك دارد كه اين پيشنهاد تضميني براي يك كامپيوتر امن باشد.
هفته گذشته، مركز حفاظت بدافزار مايكروسافت خبر از يك تروجان جديد به نام "Popureb" داد و گفت تنها راه ريشه كن كردن اين بدافزار استفاده از ديسك بازيابي است، زيرا ديسك بازيابي ويندوز را به تنظيمات پيش فرض باز ميگرداند، مايكروسافت اساسا به كاربران اعلام كرده بود كه براي پاكسازي كامل يك كامپيوتر آلوده نياز به نصب مجدد ويندوز است.
بدافزار هايي مانند Popureb زماني كه بر روي يك سيستم قرار دارند بسيار سخت تشخيص داده و پاك مي شوند. زيرا MBR هارد (سكتور 0 كه كد در آن ذخيره شده تا سيستم را راه اندازي نمايد) را باز نويسي مي كنند. چون اين بدافزار در روي MBR پنهان مي شود، rootkit اي كه بوسيله Popureb نصب مي شود نه تنها خودش را بلكه همه بدافزار هايي را كه پس از اين به وسيله آن نصب مي شوند را براي سيستم عامل و نرم افزار امنيتي نامرئي مي سازد.
شركت هاي امنيتي متعددي درباره اين كه نياز به نصب مجدد ويندوز هست يا نه به مباحثه نشسته اند.
Vikram Thakur، يكي از مديران اصلي پاسخگويي امنيتي در Symantec مي گويد "نصب مجدد آخرين كاري است كه مي توان براي مشكل اين بدافزار انجام داد و مي توان اين مشكل را به راحتي با ترميم MBR از طريق يك ديسك خارجي حل كرد"
Symantec يك ابزار براي انجام اين كار به كاربران پيشنهاد داده است.
اين ابزار "Norton Bootable Discovery Tool," دارد كه به صورت مجاني قابل دانلود است و يك ديسك بوت براي راه اندازي كامپيوتر بدون نياز به دسترسي داشتن به هارد و در نتيجه بدون بارگذاري MBR آلوده، ايجاد مي كند. زماني كه ويندوز با استفاده از ديسك بازيابي بوت مي شود، اين ابزار امضاهاي جديد بدافزار( اثر انگشت ديجيتالي كه آنتي ويروس ها براي شناسايي تهديدات از آن ها استفاده مي كنند) را دانلود مي كند، و پس از اين مي تواند آلودگي را تشخيص داده و در صورت لزوم، MBR را تميز كند.
Thakur مي گويد "زماني كه MBR را ترميم كنيد، شما تهديد را به برنامه هاي ديگر از جمله برنامه هاي ضد ويروسي نمايش داده ايد و آن ها مي توانند اين تهديد را از بين ببرند. "
Joe Stewart، مدير مركز پژوهش بدافزار در Dell مي گويد كه نصب مجدد ويندوز تنها راه براي اطمينان از اين است كه MBR rootkit ها و بدافزار هاي اضافي كه آنها نصب كرده اند به طور كامل حذف شده اند.
Macro Giuliani، يك تحليلگر امنيتي كه تحليل خود را درباره Popureb منتشر كرده است به كاربران هشدار داد كه ممكن است در نهايت مجبور به نصب مجدد ويندوز گردند.
او در وبلاگ خود نوشت "چيزي كه درباره Popureb يك كابوس به نظر مي رسد اين است كه در مواجه با آن به نظر مي رسد خطايي رخ داده و در بعضي موارد سيستم در زمان بوت مجدد سيستم دچار اختلال مي شود و نياز است تا سيستم به طور كامل دوباره نصب شود."

مطالب مرتبط:
آلودگي rootkit نيازمند نصب مجدد ويندوز است