"Лаборатория Касперского" сообщает об обнаружении нового буткита -
злонамеренного программного обеспечения, заражающего загрузочный сектор
жесткого диска. Для распространения буткита используется
Trojan-Downloader.NSIS.Agent.jd. Этот код попадает на компьютеры пользователей, которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте.
Загрузчик примечателен тем, что скачивает другие зловреды с
помощью NSIS-движка, а все ссылки хранит в соответствующем NSIS-скрипте.
В числе скачиваемых даунлоадером файлов на компьютер попадает
дроппер Rootkit.Win32.Fisp.a. Этот зловред заражает загрузочный сектор
жесткого диска. А именно – сохраняет старый MBR в третьем секторе, а
свой записывает вместо него. Начиная с четвертого сектора, он
располагает зашифрованный драйвер и остальной код.
После заражения компьютера при загрузке машины зловред сразу же
получает управление. Первым делом, чтобы контролировать процесс загрузки
Windows,
он подменяет прерывание INT 13h с помощью изменения таблицы векторов
прерываний. Затем буткит восстанавливает оригинальный MBR и возобновляет
нормальный процесс загрузки.
Когда определенная часть системы загружена, буткит перехватывает
функцию ExVerifySuite. Установленная ловушка заменяет системный драйвер
fips.sys на вредоносный драйвер, который в зашифрованном виде был
записан в начале жесткого диска. Стоит отметить, что драйвер fips.sys не
является обязательным для корректного функционирования ОС, поэтому
система не «рушится» после его замены.
Вредоносный драйвер перехватывает запускаемые процессы с помощью
PsSetLoadImageNotifyRoutine. Ловушка обрабатывает в загружаемом образе
PE-заголовок, просматривая в нем секцию Security массива DataDirectory. В
драйвере содержится список строк, которые встречаются в процессах
популярных антивирусов.
Если в процессах встречается одна из таких строк, то драйвер
модифицирует загружаемому образу точку входа, так что нормальное
функционирование образа становится невозможным.
Среди просматриваемых процессов:
Beike
Beijing Rising Information Technology
AVG Technologies
Trend Micro
BITDEFENDER LLC
Symantec Corporation
Kaspersky Lab
ESET, spol
Beijing Jiangmin
Kingsoft Software
360.cn
Keniu Network Technology (Beijing) Co
Qizhi Software (beijing) Co
Основной функционал драйвера – внедрение в процесс explorer.exe и
загрузка другой версии Rootkit.Win32.Fisp.a с функционалом загрузчика.
Вредоносная программа посылает серверу запрос с информацией об
установленной операционной системе, IP-адресе, MAC-адресе и т.д.
Впоследствии зловред скачивает на компьютер пользователя модификации
Trojan-Dropper.Win32.Vedio.dgs и
Trojan-GameThief.Win32.OnLineGames.boas.
источник
злонамеренного программного обеспечения, заражающего загрузочный сектор
жесткого диска. Для распространения буткита используется
Trojan-Downloader.NSIS.Agent.jd. Этот код попадает на компьютеры пользователей, которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте.
Загрузчик примечателен тем, что скачивает другие зловреды с
помощью NSIS-движка, а все ссылки хранит в соответствующем NSIS-скрипте.
В числе скачиваемых даунлоадером файлов на компьютер попадает
дроппер Rootkit.Win32.Fisp.a. Этот зловред заражает загрузочный сектор
жесткого диска. А именно – сохраняет старый MBR в третьем секторе, а
свой записывает вместо него. Начиная с четвертого сектора, он
располагает зашифрованный драйвер и остальной код.
После заражения компьютера при загрузке машины зловред сразу же
получает управление. Первым делом, чтобы контролировать процесс загрузки
Windows,
он подменяет прерывание INT 13h с помощью изменения таблицы векторов
прерываний. Затем буткит восстанавливает оригинальный MBR и возобновляет
нормальный процесс загрузки.
Когда определенная часть системы загружена, буткит перехватывает
функцию ExVerifySuite. Установленная ловушка заменяет системный драйвер
fips.sys на вредоносный драйвер, который в зашифрованном виде был
записан в начале жесткого диска. Стоит отметить, что драйвер fips.sys не
является обязательным для корректного функционирования ОС, поэтому
система не «рушится» после его замены.
Вредоносный драйвер перехватывает запускаемые процессы с помощью
PsSetLoadImageNotifyRoutine. Ловушка обрабатывает в загружаемом образе
PE-заголовок, просматривая в нем секцию Security массива DataDirectory. В
драйвере содержится список строк, которые встречаются в процессах
популярных антивирусов.
Если в процессах встречается одна из таких строк, то драйвер
модифицирует загружаемому образу точку входа, так что нормальное
функционирование образа становится невозможным.
Среди просматриваемых процессов:
Beike
Beijing Rising Information Technology
AVG Technologies
Trend Micro
BITDEFENDER LLC
Symantec Corporation
Kaspersky Lab
ESET, spol
Beijing Jiangmin
Kingsoft Software
360.cn
Keniu Network Technology (Beijing) Co
Qizhi Software (beijing) Co
Основной функционал драйвера – внедрение в процесс explorer.exe и
загрузка другой версии Rootkit.Win32.Fisp.a с функционалом загрузчика.
Вредоносная программа посылает серверу запрос с информацией об
установленной операционной системе, IP-адресе, MAC-адресе и т.д.
Впоследствии зловред скачивает на компьютер пользователя модификации
Trojan-Dropper.Win32.Vedio.dgs и
Trojan-GameThief.Win32.OnLineGames.boas.
источник
Пт Май 12, 2017 9:09 pm автор Admin
» Шифровальщик CryptXXX 3.0 обезвредили!
Пт Дек 23, 2016 11:43 pm автор Admin
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
Вт Ноя 29, 2016 12:41 am автор Admin
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
Ср Ноя 02, 2016 3:05 am автор Admin
» 360 Total Security 8.8.0.1083 [Multi/Ru]
Пн Окт 24, 2016 10:06 pm автор Admin
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
Пт Окт 21, 2016 11:31 pm автор Admin
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
Пн Авг 15, 2016 12:54 am автор Admin
» Новый вариант трояна Kovter маскируется под обновления для Firefox
Пт Июл 08, 2016 4:14 am автор Admin
» Эксперт представил способ похищения данных через кулер компьютера
Пт Июн 24, 2016 5:24 am автор Admin