این بدافزار خطرناک که برای آلودگی ثبات راهانداز اصلی (Master boot record) بروز شده است. رمزنگاری استفاده شده در نوع جدید بدافزار یعنی «Bootkit. Trup. B» بسیار شبیه نوع قدیمی آن «Bootkit. Trup. A» که از یک عملیات ساده چرخش به راست (ROR) استفاده میکند، میباشد.
به گزارش ایتنا، این روتکیت موقعیت هندسهٔ درایو دیسک آلوده را دریافت کرده سپس موقعیت نزدیک به انتهای پارتیشن را برای ذخیره MBR اولیه و دیگر اجزای سختافزاری را محاسبه مینماید. این اجزا و پیمانهها در بخش تخصیص نیافته پارتیشن نوشته میشوند، و در مواردی که دیسک پر شده باشد امکان رونویسی با دادههای دیگر وجود دارد.
MBR اولیه و اجزای درایور به صورت رمزشده با استفاده از همان متد رمزنگاری ذخیره شدهاند. کامپوننت درایو، بخش DriverStartIo متعلق به ATAPI جایی که عملیات نوشتن را رصد میکند، را هوک میکند. در مواردی که عملیات نوشتن قصد نوشتن در سکتور بوت رکورد اصلی (MBR) را دارد، روتکیت، عملیات نوشتن را تغییر میدهد. این روش با استفاده از محصولات امنیتی، عملیات تعمیر را دور میزند.
مکانیزم محافظتی MBR قبلاً در TDSS مشاهده شد. TDL۴ در پایین پشته ذخیرهسازی برای نظارت بر عملیات خواندن و نوشتن در اولین سکتور قرار دارد و اجزای رمزنگاری شدهٔ آن در فضای پارتیشن نشدهٔ دیسک مستقر میباشند.
این بدافزار مرورگرهای پرطرفدار را برای تزریق کد و افزودن قابلیت تبلیغات کلیکی برای کسب منافع مالی هدف قرار داده است. روتیکیت مذکور اطلاعات تبلیغات کلیک شده را در یک فایل INI ذخیره میکند.
برخی نرمافزارهای امنیتی آلودگی MBR را با عنواینی نظیر: Trojan: DOS/Popureb. B و بدافزار بوتکیت را با عنوان Trojan: Win۳۲/Popureb. E شناسایی میکنند. برخی از مقالات منتشر شده درباره این روتکیت پیشنهاد حذف و نصب مجدد ویندوز را برای حذف این بدافزار میدهند.
کاربران کوییکهیل میتوانند از ابزار
BootKitRemover برای شناسایی و پاکسازی این بوتکیت استفاده نمایند. برای تکمیل فرایند ترمیم نیاز به راهاندازی مجدد سیستم میباشد.