Kaspersky Lab informuje o wykryciu nowego szkodliwego programu, który infekuje sektory startowe dysków twardych i uruchamia się przed startem systemu operacyjnego. Nowy bootkit - Rookit.Win32.Fisp.a - rozprzestrzenia się poprzez sfałszowaną chińską stronę WWW zawierającą materiały pornograficzne.
Cechą wyróżniającą trojana jest to, że pobiera on inne szkodliwe programy przy użyciu mechanizmu NSIS. NSIS - Skryptowy System Instalacji Nullsoft (Nullsoft Scriptable Install System) - pozwala programistom na tworzenie plików instalacyjnych dla platformy Windows. Rozprowadzany jest na licencji open source i jest całkowicie darmowy dla dowolnego zastosowania.
Fragment skryptu NSIS pochodzący z trojana Trojan-Downloader.NSIS.Agent.jd
Pobrany przez trojana bootkit Rootkit.Win32.Fisp.a infekuje sektor startowy dysku twardego, a dokładniej zapisuje oryginalną zawartość w trzecim sektorze dysku i umieszcza w jego pierwotnej lokalizacji swój kod. Począwszy od czwartego sektora szkodnik instaluje swój kod pod postacią zaszyfrowanego sterownika.
Fragment zawartości dysku twardego zainfekowanego bootkitem Rootkit.Win32.Fisp.a
Szkodliwy kod przejmuje kontrolę natychmiast po włączeniu komputera - jeszcze przed załadowaniem się systemu operacyjnego. Pierwszą czynnością bootkita jest przechwycenie przerwania INT 13h. Następnie szkodnik przywraca oryginalny sektor startowy (zapisany wcześniej w trzecim sektorze dysku) i kontynuuje standardowe uruchamianie komputera.
W trakcie uruchamiania systemu operacyjnego bootkit przechwytuje funkcję ExVerifySuite, co pozwala mu podmienić sterownik fips.sys swoim własnym kodem. Warto wspomnieć, że sterownik fips.sys nie jest wymagany do poprawnej pracy systemu operacyjnego i z tego powodu użytkownik nie zauważy żadnych objawów infekcji komputera.
Przy użyciu systemowej funkcji PsSetLoadImageNotifyRoutine bootkit przechwytuje wszystkie procesy uruchamiane w systemie i przegląda sekcję "Security" w ich nagłówkach. Zainfekowany sterownik zawiera listę tekstów (patrz poniżej), które znajdują się w nagłówkach procesów popularnych programów antywirusowych. Po wykryciu jednego z tych tekstów szkodnik modyfikuje proces, w wyniku czego aplikacje antywirusowe mogą funkcjonować niepoprawnie.
Głównym zadaniem zainfekowanego sterownika jest przechwycenie procesu explorer.exe (Eksplorator systemu Windows) i wstrzyknięcie w jego kod alternatywnej wersji bootkita Rootkit.Win32.Fisp.a, która posiada możliwość pobierania innych szkodliwych programów z Internetu. Szkodliwy program wysyła zapytanie do serwera kontrolowanego przez cyberprzestępcę i wysyła do niego informacje o zainfekowanym komputerze (wersja systemu operacyjnego, adres IP, adres MAC itd.).
Następnie szkodliwy program pobiera na zainfekowany komputer dwa trojany: Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas.
Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed nowym bootkitem.
Witaj gościu. Dziękujemy, że przeglądasz nasze forum ale czy wiesz, że zakładając konto możesz w pełni korzystać z dobrodziejstw jakimi są promocje i konkursy. Nie zobaczysz tu też żadnych reklam a rejestracja zajmie Ci tylko chwilę.
Ta strona wykorzystuje ciasteczka (cookies) w celu: utrzymania sesji zalogowanego Użytkownika, gromadzenia informacji związanych z korzystaniem z serwisu, ułatwienia Użytkownikom korzystania z niego, dopasowania treści wyświetlanych Użytkownikowi oraz tworzenia statystyk oglądalności czy efektywności publikowanych reklam.Użytkownik ma możliwość skonfigurowania ustawień cookies za pomocą ustawień swojej przeglądarki internetowej. Użytkownik wyraża zgodę na używanie i wykorzystywanie cookies oraz ma możliwość wyłączenia cookies za pomocą ustawień swojej przeglądarki internetowej.
