Vir mění zápis na disk ve čtení
Na blogu bezpečnostních expertů z Microsoftu se objevila zmínka o nové variantě breberky Popureb, jejíž „část“ (dá se to tak nazvat) Popureb.A se ukládá do Master Boot Record sektoru na pevném disku (čímž se dobře skrývá před antiviry i uživatelem), zatímco část Popureb.B obtěžuje uživatele zobrazováním nevyžádané reklamy. Novinkou je třetí část Popureb.E, která se instaluje jako speciální ovladač a má velmi zajímavou funkci: při snaze přepsat Master Boot Record udělá z příkazu Write příkaz Read…
Veselý virusek...
http://www.diit.cz/clanek/proc-vir-meni-zapis-na-d isk-ve-cteni/38423/
Zdroj: http://www.diit.cz
By ma zaujimalo ako to funguje, kedze MBR sa prepisuje pri instalacii, resp zo systemu, ktory nebezi. Neviem si predstavit dovod prepisovania MBR pri funkcnom beziacom systeme.
Důvod? Třeba zrovna ten, aby se nedal smazat Popureb.A.
Standardne sa, ale zapis do MBR robi pri instalacii OS napriklad a vtedy ten virus nema byt ako aktivny, cize mi unika zmysel strazenia MBR pri beziacom OS.
Uf, ten vir si přeci hlídá ten svůj upravený MBR, kde hnízdí. Jak někdo pravil v diskuzi pod tím článkem "kdo nezažil OneHalf, jakoby nebyl....
One halfa som zazil, musel som kvoli nemu stahovat vtedy este z bbsky najprv antionehalf a az potom sa mohol zmazat.
A teraz mi vysvetli ako sa virus bude strazit MBR ked nabootujem z cd a pojdem MBR prepisat napriklad zo zalohy.
To nebude, taky proto tam radí smazat ho z konzole pomocí fixmbr.
Sak prave preto to pisem, keby som ten virus v MBR aj mal a nic nerobil len by tam sedel tak mi to je jedno, pri najblizsej instalacii alebo boote z cd sa ho v pohode zbavim, cize robit nejake halo, ze virus sa brani prepisaniu MBR v beziacom systeme mi pride kusok bulvarne.
keby si ho v MBR mal, tak by ti asi pri kazdom boote nakazil (predtym akoze vycistene Windows), to je predsa zmysel toho ze je aj v MBR, nepredpokladam ze by autor bol tak blby aby polovicu viru urobil zbytocne. Samozrejme cely vir nebude v 500bajtovom MBR ale asi pouzije aj dalsie volne sektory prvej stopy aby sa tam ulozil cely a vedel zas nakazit PC. Ale neskumal som ten konkretny vir tak neviem co presne robi.
Strazi si to preto aby ho BFU nemohol odstranit nejakym smiesnym antivirom.
(P.S .nikto snad nikde netvrdi ze je to neodstranitelne, pre mna je prepisane MBR zalezitost 5sekund (USB stick s ranish) a ani kvoli tomu nemusim reinstalovat Win. Horsie to je s odstranenim tych dalsich casti vo Win, to by asi trvalo dlhsie..
do MBR se neda zapisovat, pokud si to teda zakazu v BIOSu - pri instalaci OS si to povolim, nemam jak vir chytit.
Tak nechytis Popureb.A, ale len Popureb.B, Popureb.C, Popureb.D, Popureb.E, Popureb.F
Tak si udělejte Ghosta. Když to z hovadných stránek (či hovadného mailu) chytíte, prostě přeplácnete partišnu včetně MBR.