Kaspersky ostrzega przed bootkitem Rookit.Win32.Fisp.a, który zagnieżdża się w sektorze rozruchowym dysku. Rozprzestrzenia go trojan Trojan-Downloader.NSIS.Agent.jd, który infekuje ze stron ***** (głównie chińskich). Główną cechą trojana jest pobieranie innych szkodników przy użyciu mechanizmu NSIS.
Bootkit rusza do działania przed startem systemu przejmując przerwanie INT 13H po czym przywraca zapisaną kopię oryginalnego sektora rozruchowego dysku i kontynuuje działanie. Przechwytuje funkcję ExVerifySuite i podmienia plik fips.sys
Przy użyciu funkcji PsSetLoadImageNotifyRoutine przechwytuje procesy i przegląda sekcję Security w nagłówkach w poszukiwaniu programów do zabezpieczeń.
# Beike
# Beijing Rising Information Technology
# AVG Technologies
# Trend Micro
# BITDEFENDER LLC
# Symantec Corporation
# Kaspersky Lab
# ESET, spol
# Beijing Jiangmin
# Kingsoft Software
# 360.cn
# Keniu Network Technology (Beijing) Co
# Qizhi Software (beijing) Co
Potem przechwytuje proces explorer.exe i dodaje do niego szkodliwy kod
Szkodnik wysyła zapytanie do serwera kontrolowanego przez hakerów i wysyła do niego informacje o zainfekowanym komputerze (wersja systemu operacyjnego, adres IP, adres MAC itd.).
Następnie szkodliwy program pobiera na zainfekowany komputer dwa trojany: Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas.
Źródło: Kaspersky
Bootki Rookit.Win32.Fisp.a
-
cosik_ktosik
- Posty: 21399
- Rejestracja: 13 lis 2008, 01:17
- Lokalizacja: Szczecin
- Kontaktowanie:
-
- Reklama
Wróć do „Zagrożenia i leczenie”
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość
