"Лаборатория Касперского" сообщает об обнаружении нового буткита

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 4 апр 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    "Лаборатория Касперского" сообщает об обнаружении нового буткита - злонамеренного программного обеспечения, заражающего загрузочный сектор жесткого диска. Для распространения буткита используется Trojan-Downloader.NSIS.Agent.jd. Этот код попадает на компьютеры пользователей, которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте.

    Загрузчик примечателен тем, что скачивает другие зловреды с помощью NSIS-движка, а все ссылки хранит в соответствующем NSIS-скрипте.

    В числе скачиваемых даунлоадером файлов на компьютер попадает дроппер Rootkit.Win32.Fisp.a. Этот зловред заражает загрузочный сектор жесткого диска. А именно – сохраняет старый MBR в третьем секторе, а свой записывает вместо него. Начиная с четвертого сектора, он располагает зашифрованный драйвер и остальной код.

    После заражения компьютера при загрузке машины зловред сразу же получает управление. Первым делом, чтобы контролировать процесс загрузки Windows, он подменяет прерывание INT 13h с помощью изменения таблицы векторов прерываний. Затем буткит восстанавливает оригинальный MBR и возобновляет нормальный процесс загрузки.

    Когда определенная часть системы загружена, буткит перехватывает функцию ExVerifySuite. Установленная ловушка заменяет системный драйвер fips.sys на вредоносный драйвер, который в зашифрованном виде был записан в начале жесткого диска. Стоит отметить, что драйвер fips.sys не является обязательным для корректного функционирования ОС, поэтому система не «рушится» после его замены.

    Вредоносный драйвер перехватывает запускаемые процессы с помощью PsSetLoadImageNotifyRoutine. Ловушка обрабатывает в загружаемом образе PE-заголовок, просматривая в нем секцию Security массива DataDirectory. В драйвере содержится список строк, которые встречаются в процессах популярных антивирусов. Если в процессах встречается одна из таких строк, то драйвер модифицирует загружаемому образу точку входа, так что нормальное функционирование образа становится невозможным.

    Среди просматриваемых процессов:

    Beike
    Beijing Rising Information Technology
    AVG Technologies
    Trend Micro
    BITDEFENDER LLC
    Symantec Corporation
    Kaspersky Lab
    ESET, spol
    Beijing Jiangmin
    Kingsoft Software
    360.cn
    Keniu Network Technology (Beijing) Co
    Qizhi Software (beijing) Co,

    Основной функционал драйвера – внедрение в процесс explorer.exe и загрузка другой версии Rootkit.Win32.Fisp.a с функционалом загрузчика. Вредоносная программа посылает серверу запрос с информацией об установленной операционной системе, IP-адресе, MAC-адресе и т.д. Впоследствии зловред скачивает на компьютер пользователя модификации Trojan-Dropper.Win32.Vedio.dgs и Trojan-GameThief.Win32.OnLineGames.boas.


    источник
     

Поделиться этой страницей