Реклама

Освітні питання

Добавлено 15 жовтня 2018
mon-rozrobilo-koncepУ відомстві повідомляють, що метою концепції є проведення реформи професійної освіти Міністерством освіти і науки розроблений і запропонований до...
35
Добавлено 02 серпня 2018
mon-zaproshy-vish-Для участі в конкурсі необхідно пройти безкоштовну реєстрацію на сайті «Innovation – 2018» Міністерство освіти і науки запрошує заклади вищої освіти та...
351

Новини психології


on 13 жовтня 2014, 17.37
Нарциссизм в отношениях. 5 правил идентификации паразита в отношениях.
Нарциссизм в отношениях. 5 правил идентификации паразита в отношениях. Как узнать, что ваш партнер по отношениям является



ЛК виявила новий буткит

Неділя, 03 квітня 2011 Автор 

"Лабораторія Касперского" повідомляє про виявлення нового буткита - зловмисного програмного забезпечення, що заражає завантажувальний сектор жорсткого диска. Для поширення буткита використовується Trojan - Downloader.NSIS.Agent.jd. Цей код потрапляє на комп'ютери користувачів, які необачно намагаються викачати відеоролик на фальшивому китайському порносайті.

Завантажувач примітний тим, що викачує інші зловреды за допомогою NSIS -движка, а усі посилання зберігає у відповідному NSIS -скрипте.

У числі викачуваних даунлоадером файлів на комп'ютер потрапляє дроппер Rootkit.Win32.Fisp.a. Цей зловред заражає завантажувальний сектор жорсткого диска. А саме - зберігає старий MBR в третьому секторі, а свій записує замість нього. Починаючи з четвертого сектора, він розташовує зашифрований драйвер і інший код.

Після зараження комп'ютера при завантаженні машини зловред відразу ж отримує управління. Насамперед, щоб контролювати процес завантаження Windows, він підміняє переривання INT 13h за допомогою зміни таблиці векторів переривань. Потім буткит відновлює оригінальний MBR і поновлює нормальний процес завантаження.

Коли певна частина системи завантажена, буткит перехоплює функцію ExVerifySuite. Встановлена пастка замінює системний драйвер fips.sys на шкідливий драйвер, який в зашифрованому виді був записаний на початку жорсткого диска. Варто відмітити, що драйвер fips.sys не є обов'язковим для коректного функціонування ОС, тому система не «рушиться» після його заміни.

Шкідливий драйвер перехоплює процеси, що запускаються, за допомогою PsSetLoadImageNotifyRoutine. Пастка обробляє в завантажуваному образі PE -заголовок, переглядаючи в нім секцію Security масиву DataDirectory. У драйвері міститься список рядків, які зустрічаються в процесах популярних антивірусів. Якщо в процесах зустрічається один з таких рядків, то драйвер модифікує завантажуваному образу точку входу, так що нормальне функціонування образу стає неможливим.

Серед процесів, що переглядаються :

Beike

Beijing Rising Information Technology

AVG Technologies

Trend Micro

BITDEFENDER LLC

Symantec Corporation

Kaspersky Lab

ESET, spol

Beijing Jiangmin

Kingsoft Software

360.cn

Keniu Network Technology (Beijing) Co

Qizhi Software (beijing) Co

Основний функціонал драйвера - впровадження в процес explorer.exe і завантаження іншої версії Rootkit.Win32.Fisp.a з функціоналом завантажувача. Шкідлива програма посилає серверу запит з інформацією про встановлену операційну систему, IP -адресе, MAC -адресе і так далі. Згодом зловред викачує на комп'ютер користувача модифікації Trojan - Dropper.Win32.Vedio.dgs і Trojan - GameThief.Win32.OnLineGames.boas.

Прочитано 3745 разів
Вадим Дудченко

Email Ця електронна адреса захищена від спам-ботів, Вам потрібно включити JavaScript для перегляду

Медіа



Реклама

Освітні питання

Добавлено 15 жовтня 2018
mon-rozrobilo-koncepУ відомстві повідомляють, що метою концепції є проведення реформи професійної освіти Міністерством освіти і науки розроблений і запропонований до...
35
Добавлено 02 серпня 2018
mon-zaproshy-vish-Для участі в конкурсі необхідно пройти безкоштовну реєстрацію на сайті «Innovation – 2018» Міністерство освіти і науки запрошує заклади вищої освіти та...
351

Новини психології


on 13 жовтня 2014, 17.37
Нарциссизм в отношениях. 5 правил идентификации паразита в отношениях.
Нарциссизм в отношениях. 5 правил идентификации паразита в отношениях. Как узнать, что ваш партнер по отношениям является


Реклама GOOGLE