Китайский буткит

By Главный редактор

14598 Закоржевский Вячеслав эксперт «Лаборатории Касперского» сообщил, что специалистами компании был обнаружен новый буткит или же новый зловред. Он заражает загрузочные сектора жесткого диска ПК — Rookit.Win32.Fisp.a. Для своего легчайшего распространения он использует Trojan-Downloader.NSIS.Agent.jd. Как же он работает? Зловред попадает на ПК в тот момент, когда пользователи наивно пытаются скачать определенный видеоролик на естественно фальшивом китайском порносайте. Данный загрузчик интересен тем, что он скачивает и другие зловреды с помощью NSIS-движка, а вот все свои ссылки хранит в назначенном им NSIS-скрипте. В порядке скачиваемых даунлоадером многочисленных файлов на компьютер пользователя попадает дроппер Rootkit.Win32.Fisp.a. Далее зловред заражает необходимый загрузочный сектор жесткого диска, тем самым, сохраняет старый MBR в третьем секторе. Свой же записывает сразу вместо него. А начиная с 4 сектора, располагает свой зашифрованный драйвер, плюс остальной код. Заразив компьютер зловред получает управление им. Первым делом, он заменяет прерывание INT 13h. Затем буткит непременно восстанавливает оригинальный MBR и далее возобновляет необходимый процесс загрузки. Когда большая часть системы загружена, буткит тут же перехватывает функцию ExVerifySuite. Установленная данная ловушка легко заменяет системный драйвер fips.sys на зловредный вредоносный драйвер. Вредоносный скрытный драйвер, используя запускаемые процессы, применяет PsSetLoadImageNotifyRoutine. Основная функция этого драйвера, это внедрение в процесс explorer.exe и дальнейшая загрузка версии Rootkit.Win32.Fisp.a.
Впоследствии установленный зловред легко скачивает на ПК модификации Trojan-Dropper.Win32.Vedio.dgs и Trojan-GameThief.Win32.OnLineGames.boas.