如何检测64位Alureon Rootkit感染
- 类别: 软件
Alureon或TDL,TLD3和Tidserv是第一个可以感染64位Windows PC的rootkit。在此之前,只有32位系统受rootkit的影响,许多Windows用户意识到,二月份,当Microsoft补丁MS10-015导致受感染的计算机显示蓝屏时。显然,那不是微软的错,那是专业人士和用户都首先假定的。经过一些研究,结果表明TLD3 rootkit对此行为负责。
从那时起,rootkit的开发人员对其进行了相当大的改进,并设法增加了感染64位Windows系统的能力。这是第一次,安全厂商对此趋势感到震惊。
但是,这些攻击的作者尚未休息。不到一个月前,我们意识到Alureon的新变种会感染主引导记录(MBR)而不是被感染的驱动程序。尽管此新变体不影响64位计算机,但其虚拟文件系统中包含一个名为ldr64的惰性文件。最近,我们发现了一个更新的变种,该变种成功感染了运行Windows Vista或更高版本的64位计算机,同时使64位Windows XP和Server 2003计算机无法启动。
许多安全公司已经在其安全应用程序中添加了对64位变种的检测,例如,Microsoft在8月初向Microsoft Security Essentials添加了签名。
不过,Windows 64位所有者可能需要亲自验证自己的操作系统上未安装rootkit。如上述信息所示,Windows XP和Windows Server 2003所有者将立即注意到出现问题,因为它们的操作系统将无法启动。 Windows Vista或Windows 7 64位用户应继续阅读。
至少有两个选项可以完成此操作,所有选项都使用操作系统中已包含的工具:
使用Windows-R打开命令提示符,输入cmd并输入。
使用命令 磁盘部分 在新的命令行窗口中打开Diskpart。
输入 阅读说 在新提示下,如果它仍然为空,则说明计算机已被rootkit感染。如果显示磁盘,则不显示。
好
坏
检测64位rootkit的第二个选项如下:从“计算机管理”窗格启动磁盘管理。
如果未显示磁盘,则表明系统已被rootkit感染。如果显示磁盘,则一切正常。
感染系统
如果系统被感染,如何删除Rootkit:
几个程序可以删除rootkit并修复MBR,以便在修复后系统正常启动。
例如,Hitman Pro Beta 112和更高版本可以做到这一点。