Всем пользователям Windows XP нужно срочно обновить Service Pack
01.08.11, Пн, 15:17, Мск,
Компьютеры под операционной системой Windows XP представляют собой серьезную угрозу для ИТ-окружения, считают эксперты в сфере безопасности. Более 60% заражений руткитами происходит от машин, где заражена основная загрузочная запись жесткого диска.
Чешская компания – разработчик антивирусных продуктов сообщает, что машины под управлением ОС Windows XP представляют собой армаду зараженных компьютеров, которые могут содействовать распространению вредоносных программ на другие системы.
Количество компьютеров под Windows XP, зараженных руткитами, не пропорционально доле рынка операционных систем. Такие данные опубликовала на прошлой неделе компания Avast Software, которая провела исследование более 600 тыс. ПК на платформе ОС Windows.
В то время как на долю XP в настоящее время приходится около 58% всех Windows-систем, находящихся в эксплуатации, 74% заражений руткитами было обнаружено антивирусной системой Avast Антивирус именно на этих машинах. Доля зараженных машин XP была намного больше, чем Windows 7, на долю которой приходится лишь 12% вредоносных машин – несмотря на то, что этой ОС оснащено более 30% Windows-компьютеров.
Сегодня руткиты стали важной частью самого сложного вредоносного ПО, в частности, бот-сетей, поскольку они скрывают свое воздействие от пользователя, операционной системы и значительной части программ обеспечения безопасности. При установке руткитов хакер обеспечивает компромисс между как можно более длительным сокрытием вредоносного влияния и тем, что компьютер остается доступным для контроллера ботнета при реализации таких зловредных действий как отправка спама или распространение вирусов на другие машины.
Avast Антивирус соотносит неравномерность инфицирования между XP и Windows 7 с двумя факторами: широкое применение пиратских копий первой ОС и более высокий уровень защищенности второй. «Согласно нашей статистике, по меньшей мере, треть пользователей XP запускает SP2 [Service Pack 2] или более раннюю версию, - отметил в интервью Онджей Влчек (Ondrej Vlcek), главный технический директор AVAST. – Миллионы людей не получают поддержку и ОС их машин не обеспечены патчами безопасности». 28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT 
Использование контрафактной версии ОС стало причиной того, что многие отказались от обновления своих систем до SP3, которая еще поддерживается, считает Влчек. Стоит напомнить, что годом ранее Microsoft прекратила поддержку XP SP2.
Хотя своими ежемесячными патчами безопасности и пакетами обновления Microsoft обслуживает всех, даже пиратов, большинство экспертов по безопасности полагают, что пользователи нелегальных копий очень неохотно производят обновления. Они опасаются, что это вызовет замечания от Microsoft, появляющиеся на экране, когда система сочтет компьютер работающим на поддельной копии Windows.
Влчек призвал пользователей, работающих с легальными копиями, перейти на XP SP3. «Переход на SP3 является главным, что необходимо сделать», - сказал он. Windows 7 обеспечивает более высокий уровень безопасности, особенно в 64-битной версии, считает эксперт. «64-битная версия имеет некоторые технологии, намного более сложные для заражения руткитами», - сказал Влчек, упоминая такие функции ядра, как подписание версий драйверов, являющиеся основными для удержания руткитов от внедрения на машины.
Но, как признал Влчек, и 64-битная Windows 7 не полностью защищена. «Удивительным для меня было то, что мне казалось, будто число заражений Windows 7 будет еще меньше», - сказал он. Руткиты, способные заразить 64-разрядные копии Windows 7, все еще относительно редки, но они известны: первый появился в августе 2010 года, а массивный ботнет, который называют «практически неразрушимым», в прошлом месяце использовал аналогичный вариант руткита для установки своей 64-разрядной версии на Windows 7.
Это вредоносное ПО известно под рядом названий: Alureon, TDL, Tidserv и совсем недавно - TDL-4. Оно особенно хитро, поскольку устанавливает руткит в главную загрузочную запись (MBR). MBR - это первый сектор жесткого диска (сектор 0), откуда начинается код для загрузки операционной системы после тестов компьютера системой BIOS. После компрометации MBR, обнаружить руткит становится еще сложнее, так как он уже записан и загружается в память к моменту старта ОС и программ обеспечения безопасности. Avast Антивирус выяснила, что за 62% всех заражений руткитами ответственны те рукткиты, которые ранее инфицировали MBR.
