"Лаборатория Касперского" сообщает об обнаружении нового буткита

3/04/2011 09:06

"Лаборатория Касперского" сообщает об обнаружении нового буткита - злонамеренного программного обеспечения, заражающего загрузочный сектор жесткого диска. Для распространения буткита используется Trojan-Downloader.NSIS.Agent.jd. Этот код попадает на компьютеры пользователей, которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте. Загрузчик примечателен тем, что скачивает другие зловреды с помощью NSIS-движка, а все ссылки хранит в соответствующем NSIS-скрипте. В числе скачиваемых даунлоадером файлов на компьютер попадает дроппер Rootkit.Win32.Fisp.a. Этот зловред заражает загрузочный сектор жесткого диска. А именно – сохраняет старый MBR в третьем секторе, а свой записывает вместо него. Начиная с четвертого сектора, он располагает зашифрованный драйвер и остальной код. После заражения компьютера при загрузке машины зловред сразу же получает управление. Первым делом, чтобы контролировать процесс загрузки Windows, он подменяет прерывание INT 13h с помощью изменения таблицы векторов прерываний. Затем буткит восстанавливает оригинальный MBR и возобновляет нормальный процесс загрузки. Когда определенная часть системы загружена, буткит перехватывает функцию ExVerifySuite. Установленная ловушка заменяет системный драйвер fips.sys на вредоносный драйвер, который в зашифрованном виде был записан в начале жесткого диска. Стоит отметить, что драйвер fips.sys не является обязательным для корректного функционирования ОС, поэтому система не «рушится» после его замены. Вредоносный драйвер перехватывает запускаемые процессы с помощью PsSetLoadImageNotifyRoutine. Ловушка обрабатывает в загружаемом образе PE-заголовок, просматривая в нем секцию Security массива DataDirectory. В драйвере содержится список строк, которые встречаются в процессах популярных антивирусов. Если в процессах встречается одна из таких строк, то драйвер модифицирует загружаемому образу точку входа, так что нормальное функционирование образа становится невозможным. Основной функционал драйвера – внедрение в процесс explorer.exe и загрузка другой версии Rootkit.Win32.Fisp.a с функционалом загрузчика. Вредоносная программа посылает серверу запрос с информацией об установленной операционной системе, IP-адресе, MAC-адресе и т.д. Впоследствии зловред скачивает на компьютер пользователя модификации Trojan-Dropper.Win32.Vedio.dgs и Trojan-GameThief.Win32.OnLineGames.boas.
Источник