Alureon

sep 22, 2021
admin

Allure-stöveln identifierades för första gången runt 2007. Personaldatorer infekteras vanligtvis när användarna manuellt laddar ner och installerar trojaner. Alureon är känt för att ha kombinerats med den oseriösa säkerhetsprogramvaran Security Essentials 2010. När dropparen exekveras kapar den först utskriftsspooler-tjänsten (spoolsv.exe) för att uppdatera master boot record och utföra en modifierad bootstrap-rutin. Därefter infekterar den systemdrivrutiner på låg nivå, t.ex. de som ansvarar för PATA-verksamhet (atapi.sys), för att implementera sitt rootkit.

När den väl är installerad manipulerar Alureon Windows-registret för att blockera åtkomsten till Windows Task Manager, Windows Update och skrivbordet. Den försöker också inaktivera antivirusprogram. Alureon har också varit känd för att omdirigera sökmotorer för att begå klickbedrägeri. Google har vidtagit åtgärder för att minska detta för sina användare genom att skanna efter skadlig aktivitet och varna användarna vid positiv upptäckt.

Den skadliga programvaran väckte stor uppmärksamhet hos allmänheten när en programvarubugg i koden fick vissa 32-bitars Windows-system att krascha vid installation av säkerhetsuppdateringen MS10-015. Den skadliga programvaran använde en hårdkodad minnesadress i kärnan som ändrades efter installationen av hotfixen. Microsoft ändrade därefter hotfixet för att förhindra installation om en Alureon-infektion föreligger. Författarna till det skadliga programmet rättade också felet i koden.

I november 2010 rapporterade pressen att rootkiten hade utvecklats så pass mycket att den kunde kringgå det obligatoriska kravet på signering av drivrutiner i kernel-mode i 64-bitarsutgåvorna av Windows 7. Det gjorde detta genom att underminera master boot record, vilket gjorde det särskilt motståndskraftigt på alla system mot upptäckt och borttagning av antivirusprogram.

Lämna ett svar

Din e-postadress kommer inte publiceras.