Alureon
Allure bootは、2007年頃に初めて確認されました。 パーソナルコンピュータは通常、ユーザーが手動でトロイの木馬ソフトウェアをダウンロードし、インストールすることで感染します。 Alureon は、不正なセキュリティ ソフトウェアである Security Essentials 2010 にバンドルされていたことが知られています。 このドロッパーが実行されると、まずプリントスプーラサービス(spoolsv.exe)をハイジャックしてマスターブートレコードを更新し、修正されたブートストラップルーチンを実行します。
インストールされると、Alureon は Windows レジストリを操作して、Windows タスク マネージャ、Windows Update、およびデスクトップへのアクセスをブロックします。 また、アンチウィルス・ソフトウェアを無効にしようとします。 また、Alureonは、検索エンジンをリダイレクトして、クリック詐欺を行うことも知られています。 Google は、悪意のあるアクティビティをスキャンし、検出された場合はユーザーに警告することで、ユーザーのためにこれを軽減する手段を講じています。
このマルウェアは、コード内のソフトウェアのバグにより、一部の 32 ビット Windows システムでセキュリティ更新プログラム MS10-015 のインストール時にクラッシュが発生したため、世間の大きな注目を集めました。 このマルウェアは、修正プログラムのインストール後に変更された、カーネル内のハードコードされたメモリ アドレスを使用していました。 2010年11月、このルートキットは、Windows 7の64ビット版のカーネルモードドライバ署名の必須要件を回避できるまでに進化していると報道されました。 これは、マスターブートレコードを破壊することによって行われ、すべてのシステムにおいて、アンチウイルスソフトウェアによる検出と除去に対する抵抗力が特に強くなっています
。