Злоумышленники переключились с MBR на загрузчик NTFS-раздела

Тема в разделе "Новости информационной безопасности", создана пользователем akok, 4 июл 2011.

  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Закоржевский Вячеслав

    В последнее время модифицирование областей жесткого диска, ответственных за начальную загрузку системы, становится все более популярным у злоумышленников. При этом если раньше мы видели только изменение MBR (основная загрузочная запись), то сейчас злоумышленники переключились на заражение кода загрузчика NTFS-раздела.

    Недавно нами был обнаружен интересный зловред — Cidox. Его особенность в том, что он заражает код загрузочной области загрузочного раздела на жестком диске.

    Основной файл Trojan-Dropper.Win32.Cidox «несет на борту» два драйвера-руткита (Rootkit.Win32/Win64.Cidox). Один из них скомпилирован под 32-битную платформу, а второй — под 64-битную.

    Исходный компонент Cidox модифицирует начальную область жесткого диска:
    Записывает соответствующий драйвер в свободные сектора в начале жесткого диска.
    • Для заражения выбирает раздел, помеченный как загрузочный в таблице разделов в MBR. Важно отметить, что заражаются только разделы с файловой системой NTFS.
    • Записывает часть своего кода поверх области Extended NTFS IPL (Initial Program Loader), которая отвечает за разбор таблицы MFT (Master File Table), поиск файла с загрузчиком в корневой директории раздела (ntldr — до Vista, bootmgr — Vista+), считывание этого файла с диска и передачу управления на него. При этом оригинальное содержимое Extended NTFS IPL сохраняется в зашифрованном виде и дописывается в конец зловредного кода.

    [​IMG]
    Фрагмент начальной области жесткого диска, зараженной Cidox
    (детектируется как Rootkit.Boot.Cidox)

    При следующей загрузке системы будет вызван вредоносный код загрузочной области. Он с помощью известной техники, используя перехват Int 13h и некоторых функций ядра Windows, успешно загрузит вредоносный драйвер в систему. Загруженный драйвер с помощью функции PsSetCreateProcessNotifyRoutine контролирует запуск следующих процессов:
    • svchost.exe
    • iexplore.exe
    • firefox.exe
    • opera.exe
    • chrome.exe

    [​IMG]
    Фрагмент руткита Rootkit.Win32.Cidox, содержащий строки с названиями
    контролируемых браузеров​


    Если обнаружен запуск одного из перечисленных выше процессов, то в него внедряется еще один компонент Cidox — динамическая библиотека (Trojan.Win32.Cidox). Эта библиотека модифицирует любую выдачу браузера, заменяя ее на свою. В результате пользователь видит в окне браузера предложение обновить браузер в связи с тем, что в системе якобы обнаружены те или иные вредоносные программы. В приведенном ниже примере пользователю предлагается обновить браузер в связи с заражением троянцем Trojan.Win32.Ddox.ci.

    [​IMG]

    «Обновление», разумеется, платное. Чтобы его получить, необходимо отправить SMS на короткий номер.

    Для каждого из популярных браузеров используются уникально оформленные страницы.

    Отметим, что новую версию браузера на самом деле можно скачать бесплатно с сайта производителя. Таким образом, запугивая пользователей, злоумышленники просто вымогают у них деньги.

    Источник
     
    6 пользователям это понравилось.

Поделиться этой страницей