В компании FireEye сообщили о выявлении вредоноса, рассчитанного на кражу информации о платежных картах, который выполнен в качестве «буткита», — он меняет загрузочный сектор жесткого диска, запускается до операционной системы и хранится вне файловой системы, из-за чего антивирусы его не обнаруживают.
В FireEye вредоносу дали название Nemesis. В компании предполагают, что его разработали в России. Как сообщают в FireEye, им заразили некую организацию, занимающуюся обработкой финансовых транзакций.
Nemesis сохраняется на диске даже после переустановки операционной системы. Обнаружение буткитов возможно при загрузке с другого носителя и сканировании специальными средствами, имеющими доступ ко всему содержимому зараженного диска. В FireEye сообщают, что нашли вредонос с помощью инструментария компании Mandiant, предназначенного для судебной экспертизы. По сведениям FireEye, Nemesis меняет загрузочную запись тома с помощью появившейся в этом году вредоносной утилиты Bootrash.
Предохранение от буткитов возможно путем защиты целостности загрузки с помощью блока Trusted Platform Module.
