Bootki Rookit.Win32.Fisp.a

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Bootki Rookit.Win32.Fisp.a

Post25 kwie 2011, 21:32

Kaspersky ostrzega przed bootkitem Rookit.Win32.Fisp.a, który zagnieżdża się w sektorze rozruchowym dysku. Rozprzestrzenia go trojan Trojan-Downloader.NSIS.Agent.jd, który infekuje ze stron pornograficznych (głównie chińskich). Główną cechą trojana jest pobieranie innych szkodników przy użyciu mechanizmu NSIS.

Bootkit rusza do działania przed startem systemu przejmując przerwanie INT 13H po czym przywraca zapisaną kopię oryginalnego sektora rozruchowego dysku i kontynuuje działanie. Przechwytuje funkcję ExVerifySuite i podmienia plik fips.sys

Przy użyciu funkcji PsSetLoadImageNotifyRoutine przechwytuje procesy i przegląda sekcję Security w nagłówkach w poszukiwaniu programów do zabezpieczeń.

# Beike
# Beijing Rising Information Technology
# AVG Technologies
# Trend Micro
# BITDEFENDER LLC
# Symantec Corporation
# Kaspersky Lab
# ESET, spol
# Beijing Jiangmin
# Kingsoft Software
# 360.cn
# Keniu Network Technology (Beijing) Co
# Qizhi Software (beijing) Co

Potem przechwytuje proces explorer.exe i dodaje do niego szkodliwy kod

Szkodnik wysyła zapytanie do serwera kontrolowanego przez hakerów i wysyła do niego informacje o zainfekowanym komputerze (wersja systemu operacyjnego, adres IP, adres MAC itd.).

Następnie szkodliwy program pobiera na zainfekowany komputer dwa trojany: Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas.

Źródło: Kaspersky
Hotfix
Pozdrawiam, cosik_ktosik :)


  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość