Subscribe feed

ЛК выявіла новы буткит

2 красавіка 2011

"Лабараторыя Касперскага" паведамляе аб выяўленні новага буткита - зламыснага праграмнага забеспячэння, які заражае загрузны сектар цвёрдай кружэлкі. Для распаўсюджвання буткита выкарыстоўваецца Trojan-Downloader.NSIS.Agent.jd. Гэты код пападае на кампутары карыстачоў, якія неабдумана спрабуюць запампаваць відэаролік на фальшывым кітайскім порнасайце.

Загрузнік характэрны тым, што запампоўвае іншыя зловреды з дапамогай NSIS-рухавічка, а ўсе спасылкі захоўвае ў які адпавядае NSIS-скрыпце.

У ліку пампаваных даунлоадером файлаў на кампутар пападае дроппер Rootkit.Win32.Fisp.a. Гэты зловред заражае загрузны сектар цвёрдай кружэлкі. А менавіта – захоўвае стары MBR у трэцім сектары, а свой запісвае замест яго. Пачынальна з чацвёртага сектара, ён размяшчае зашыфраваны драйвер і астатні код.

Пасля заражэння кампутара пры загрузцы машыны зловред адразу жа атрымлівае кіраванне. Перш за ўсё, каб кантраляваць працэс загрузкі Windows, ён падмяняе перапыненне INT 13h з дапамогай змены табліцы вектараў перапыненняў. Затым буткит аднаўляе арыгінальны MBR і аднаўляе нармалёвы працэс загрузкі.

Калі вызначаная частка сістэмы загружаная, буткит перахапляе функцыю ExVerifySuite. Усталяваная пастка замяняе сістэмны драйвер fips.sys на шкоднасны драйвер, які ў зашыфраваным выглядзе быў запісаны ў пачатку цвёрдай кружэлкі. Варта адзначыць, што драйвер fips.sys не з'яўляецца абавязковым для карэктнага функцыянавання АС, таму сістэма не «бурыцца» пасля яго замены.

Шкоднасны драйвер перахапляе якія запускаюцца працэсы з дапамогай PsSetLoadImageNotifyRoutine. Пастка апрацоўвае ў загружанай выяве PE-загаловак, праглядаючы ў ім секцыю Security масіва DataDirectory. У драйверы ўтрымоўваецца спіс радкоў, якія сустракаюцца ў працэсах папулярных антывірусаў. Калі ў працэсах сустракаецца адна з такіх радкоў, то драйвер мадыфікуе загружанай выяве кропку ўваходу, так што нармалёвае функцыянаванне выявы становіцца немагчымым.

Сярод прагляданых працэсаў:
Beike
Beijing Rising Information Technology
AVG Technologies
Trend Micro
BITDEFENDER LLC
Symantec Corporation
Kaspersky Lab
ESET, spol
Beijing Jiangmin
Kingsoft Software
360.cn
Keniu Network Technology (Beijing) Co
Qizhi Software (beijing) Co

Асноўны функцыянал драйвера – укараненне ў працэс explorer.exe і загрузка іншай версіі Rootkit.Win32.Fisp.a з функцыяналам загрузніка. Шкоднасная праграма пасылае серверу запыт з інфармацыяй аб усталяванай аперацыйнай сістэме, IP-адрасе, MAC-адрасе і т.д. Пасля зловред запампоўвае на кампутар карыстача мадыфікацыі Trojan-Dropper.Win32.Vedio.dgs і Trojan-GameThief.Win32.OnLineGames.boas.


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100