Исследователи обнаружили новый руткит, который замораживает жесткий диск компьютера

image

Теги: руткит, исследование, вредоносное ПО

Вредоносная программа устанавливает несколько модулей на компьютеры своих жертв.

Эксперты из вьетнамской IT-компании Bkav обнаружили и проанализировали новый руткит, который использует новый механизм защиты: «замораживание» жесткого диска компьютера жертвы. Помимо этого, вредоносная программа также изменяет иконку жесткого диска.

Впоследствии вирус запускает несколько исполняемых модулей, которые исполняют основные функции вредоносного ПО и способствуют его распространению. Одни из них PassThru – драйвер сетевого модуля, который блокирует или перенаправляет пользователя на определенные web-сайты. Модуль Wininite подключается к C&C-серверам и получает от них команды. Один из этих серверов расположен в Китае, а один в США.

DiskFit – это модуль, который каждый раз после перезагрузки компьютера восстанавливает жесткий диск компьютера до статуса, который был до инфицирования ПК. Помимо этого, DiskFit также создает на компьютере жертвы область для хранения кэшированных данных, в которой хранится информация о всех операциях осуществляемых пользователем. Таким образом, пользователь не может вносить изменения в данные на оригинальном диске.

Каждый раз, когда пользователь проводит перезагрузку компьютера, все его действия на системе удаляются, будь то создание и загрузка новых документов или установка программного обеспечения.

Подробно с отчетом Bkav можно ознакомиться здесь .


comments powered by Disqus