ЛК обнаружила новый буткит

image

Теги: Лаборатория Касперского, вредоносное ПО

"Лаборатория Касперского" сообщает об обнаружении нового буткита - злонамеренного программного обеспечения, заражающего загрузочный сектор жесткого диска.

"Лаборатория Касперского" сообщает об обнаружении нового буткита - злонамеренного программного обеспечения, заражающего загрузочный сектор жесткого диска. Для распространения буткита используется Trojan-Downloader.NSIS.Agent.jd. Этот код попадает на компьютеры пользователей, которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте.

Загрузчик примечателен тем, что скачивает другие зловреды с помощью NSIS-движка, а все ссылки хранит в соответствующем NSIS-скрипте.

В числе скачиваемых даунлоадером файлов на компьютер попадает дроппер Rootkit.Win32.Fisp.a. Этот зловред заражает загрузочный сектор жесткого диска. А именно – сохраняет старый MBR в третьем секторе, а свой записывает вместо него. Начиная с четвертого сектора, он располагает зашифрованный драйвер и остальной код.

После заражения компьютера при загрузке машины зловред сразу же получает управление. Первым делом, чтобы контролировать процесс загрузки Windows, он подменяет прерывание INT 13h с помощью изменения таблицы векторов прерываний. Затем буткит восстанавливает оригинальный MBR и возобновляет нормальный процесс загрузки.

Когда определенная часть системы загружена, буткит перехватывает функцию ExVerifySuite. Установленная ловушка заменяет системный драйвер fips.sys на вредоносный драйвер, который в зашифрованном виде был записан в начале жесткого диска. Стоит отметить, что драйвер fips.sys не является обязательным для корректного функционирования ОС, поэтому система не «рушится» после его замены.

Вредоносный драйвер перехватывает запускаемые процессы с помощью PsSetLoadImageNotifyRoutine. Ловушка обрабатывает в загружаемом образе PE-заголовок, просматривая в нем секцию Security массива DataDirectory. В драйвере содержится список строк, которые встречаются в процессах популярных антивирусов. Если в процессах встречается одна из таких строк, то драйвер модифицирует загружаемому образу точку входа, так что нормальное функционирование образа становится невозможным.

Среди просматриваемых процессов:
Beike
Beijing Rising Information Technology
AVG Technologies
Trend Micro
BITDEFENDER LLC
Symantec Corporation
Kaspersky Lab
ESET, spol
Beijing Jiangmin
Kingsoft Software
360.cn
Keniu Network Technology (Beijing) Co
Qizhi Software (beijing) Co

Основной функционал драйвера – внедрение в процесс explorer.exe и загрузка другой версии Rootkit.Win32.Fisp.a с функционалом загрузчика. Вредоносная программа посылает серверу запрос с информацией об установленной операционной системе, IP-адресе, MAC-адресе и т.д. Впоследствии зловред скачивает на компьютер пользователя модификации Trojan-Dropper.Win32.Vedio.dgs и Trojan-GameThief.Win32.OnLineGames.boas.


или введите имя

CAPTCHA
Страницы: 1  2  
pimiento
02-04-2011 20:46:38
А чего он ClamAV не просматривает? Не уважает?
0 |
03-04-2011 01:12:45
а что ClamAV уже не пытается удалить pagefile.sys?
0 |
25738
04-04-2011 11:06:27
А не чего что grub в mbr к примеру?
0 |
гость3
04-04-2011 10:43:29
хм... http://www.securelist.com/ru/blog?calendar=2011-04 а не продолжение ли 1 апреля????
0 |
(c)
02-04-2011 21:49:03
а если дуалбут винды и линукса?
0 |
03-04-2011 01:15:47
В драйвере содержится список строк, которые встречаются в процессах популярных антивирусов. Если в процессах встречается одна из таких строк, то драйвер модифицирует загружаемому образу точку входа, так что нормальное функционирование образа становится невозможным. непонятно, эти антивирусы вылетают с ошибкой или работают, не видя его?
0 |
Zzz
03-04-2011 09:39:14
Они не загружаются вообще
0 |
User
03-04-2011 02:23:30
Жалко стало пользователй Windows ))
0 |
Towleeee
03-04-2011 15:06:32
которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте.лк опрометчиво качала видеоролик....уныло(((
0 |
51998
04-04-2011 07:09:12
Тролерантно! Молодец!
0 |
Страницы: 1  2