Защита ПК! Форум.

Защита компьютера от вирусов

Партнеры

Создать форум

Кто сейчас на форуме

Сейчас посетителей на форуме: 1, из них зарегистрированных: 0, скрытых: 0 и гостей: 1

Нет


[ Посмотреть весь список ]


Больше всего посетителей (120) здесь было Ср Авг 02, 2017 2:06 pm

RSS-каналы


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 

    ЛК обнаружила новый буткит

    Admin
    Admin
    Admin

    Сообщения : 656
    Дата регистрации : 2010-12-25
    Возраст : 51
    Откуда : Киев

    ЛК обнаружила новый буткит Empty ЛК обнаружила новый буткит

    Сообщение  Admin в Сб Апр 02, 2011 8:00 pm

    "Лаборатория Касперского" сообщает об обнаружении нового буткита -
    злонамеренного программного обеспечения, заражающего загрузочный сектор
    жесткого диска. Для распространения буткита используется
    Trojan-Downloader.NSIS.Agent.jd. Этот код попадает на компьютеры пользователей, которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте.
    Загрузчик примечателен тем, что скачивает другие зловреды с
    помощью NSIS-движка, а все ссылки хранит в соответствующем NSIS-скрипте.


    В числе скачиваемых даунлоадером файлов на компьютер попадает
    дроппер Rootkit.Win32.Fisp.a. Этот зловред заражает загрузочный сектор
    жесткого диска. А именно – сохраняет старый MBR в третьем секторе, а
    свой записывает вместо него. Начиная с четвертого сектора, он
    располагает зашифрованный драйвер и остальной код.

    После заражения компьютера при загрузке машины зловред сразу же
    получает управление. Первым делом, чтобы контролировать процесс загрузки
    Windows,
    он подменяет прерывание INT 13h с помощью изменения таблицы векторов
    прерываний. Затем буткит восстанавливает оригинальный MBR и возобновляет
    нормальный процесс загрузки.

    Когда определенная часть системы загружена, буткит перехватывает
    функцию ExVerifySuite. Установленная ловушка заменяет системный драйвер
    fips.sys на вредоносный драйвер, который в зашифрованном виде был
    записан в начале жесткого диска. Стоит отметить, что драйвер fips.sys не
    является обязательным для корректного функционирования ОС, поэтому
    система не «рушится» после его замены.

    Вредоносный драйвер перехватывает запускаемые процессы с помощью
    PsSetLoadImageNotifyRoutine. Ловушка обрабатывает в загружаемом образе
    PE-заголовок, просматривая в нем секцию Security массива DataDirectory. В
    драйвере содержится список строк, которые встречаются в процессах
    популярных антивирусов.
    Если в процессах встречается одна из таких строк, то драйвер
    модифицирует загружаемому образу точку входа, так что нормальное
    функционирование образа становится невозможным.

    Среди просматриваемых процессов:

    Beike

    Beijing Rising Information Technology

    AVG Technologies

    Trend Micro

    BITDEFENDER LLC

    Symantec Corporation

    Kaspersky Lab

    ESET, spol

    Beijing Jiangmin

    Kingsoft Software

    360.cn

    Keniu Network Technology (Beijing) Co

    Qizhi Software (beijing) Co

    Основной функционал драйвера – внедрение в процесс explorer.exe и
    загрузка другой версии Rootkit.Win32.Fisp.a с функционалом загрузчика.
    Вредоносная программа посылает серверу запрос с информацией об
    установленной операционной системе, IP-адресе, MAC-адресе и т.д.
    Впоследствии зловред скачивает на компьютер пользователя модификации
    Trojan-Dropper.Win32.Vedio.dgs и
    Trojan-GameThief.Win32.OnLineGames.boas.





    источник

      Текущее время Вт Сен 29, 2020 10:18 am

      Яндекс.Метрика