Реклама

Освітні питання

Добавлено 18 січня 2018
mon-ne-zaperechy-prУ відомстві наголошують, що у вишах можуть використовуватись різні форми навчання студентів Міністерством освіти і науки надано коментар щодо призупинення...
4
Добавлено 18 січня 2018
ycoiao-prezentyvav-pПосібник містить завдання, що можуть бути використані вчителями в шкільній практиці Фахівцями Українського центру оцінювання якості освіти підготовлено...
3

Новини психології


on 15 червня 2012, 10.00
Кондиціонери: що вони уміють і які бувають?
Не секрет, що у більшості споживачів слова " кондиціонер" і " кондиціонування" викликають асоціацію із словом " охолоджен



ЛК виявила новий буткит

Неділя, 03 квітня 2011 Автор 

"Лабораторія Касперского" повідомляє про виявлення нового буткита - зловмисного програмного забезпечення, що заражає завантажувальний сектор жорсткого диска. Для поширення буткита використовується Trojan - Downloader.NSIS.Agent.jd. Цей код потрапляє на комп'ютери користувачів, які необачно намагаються викачати відеоролик на фальшивому китайському порносайті.

Завантажувач примітний тим, що викачує інші зловреды за допомогою NSIS -движка, а усі посилання зберігає у відповідному NSIS -скрипте.

У числі викачуваних даунлоадером файлів на комп'ютер потрапляє дроппер Rootkit.Win32.Fisp.a. Цей зловред заражає завантажувальний сектор жорсткого диска. А саме - зберігає старий MBR в третьому секторі, а свій записує замість нього. Починаючи з четвертого сектора, він розташовує зашифрований драйвер і інший код.

Після зараження комп'ютера при завантаженні машини зловред відразу ж отримує управління. Насамперед, щоб контролювати процес завантаження Windows, він підміняє переривання INT 13h за допомогою зміни таблиці векторів переривань. Потім буткит відновлює оригінальний MBR і поновлює нормальний процес завантаження.

Коли певна частина системи завантажена, буткит перехоплює функцію ExVerifySuite. Встановлена пастка замінює системний драйвер fips.sys на шкідливий драйвер, який в зашифрованому виді був записаний на початку жорсткого диска. Варто відмітити, що драйвер fips.sys не є обов'язковим для коректного функціонування ОС, тому система не «рушиться» після його заміни.

Шкідливий драйвер перехоплює процеси, що запускаються, за допомогою PsSetLoadImageNotifyRoutine. Пастка обробляє в завантажуваному образі PE -заголовок, переглядаючи в нім секцію Security масиву DataDirectory. У драйвері міститься список рядків, які зустрічаються в процесах популярних антивірусів. Якщо в процесах зустрічається один з таких рядків, то драйвер модифікує завантажуваному образу точку входу, так що нормальне функціонування образу стає неможливим.

Серед процесів, що переглядаються :

Beike

Beijing Rising Information Technology

AVG Technologies

Trend Micro

BITDEFENDER LLC

Symantec Corporation

Kaspersky Lab

ESET, spol

Beijing Jiangmin

Kingsoft Software

360.cn

Keniu Network Technology (Beijing) Co

Qizhi Software (beijing) Co

Основний функціонал драйвера - впровадження в процес explorer.exe і завантаження іншої версії Rootkit.Win32.Fisp.a з функціоналом завантажувача. Шкідлива програма посилає серверу запит з інформацією про встановлену операційну систему, IP -адресе, MAC -адресе і так далі. Згодом зловред викачує на комп'ютер користувача модифікації Trojan - Dropper.Win32.Vedio.dgs і Trojan - GameThief.Win32.OnLineGames.boas.

Прочитано 3658 разів
Вадим Дудченко

Email Ця електронна адреса захищена від спам-ботів, Вам потрібно включити JavaScript для перегляду



Реклама

Освітні питання

Добавлено 18 січня 2018
mon-ne-zaperechy-prУ відомстві наголошують, що у вишах можуть використовуватись різні форми навчання студентів Міністерством освіти і науки надано коментар щодо призупинення...
4
Добавлено 18 січня 2018
ycoiao-prezentyvav-pПосібник містить завдання, що можуть бути використані вчителями в шкільній практиці Фахівцями Українського центру оцінювання якості освіти підготовлено...
3

Новини психології


on 15 червня 2012, 10.00
Кондиціонери: що вони уміють і які бувають?
Не секрет, що у більшості споживачів слова " кондиціонер" і " кондиціонування" викликають асоціацію із словом " охолоджен


Вислови відомих людей про професію вчителя

Змушений приховувати і обминати труднощі, вихователь легко може деморалізуватись, стати лицемірним, розчаруватись і розледачіти... Виникають скарги на невдячну працю: якщо Бог хоче когось покарати, то робить його вихователем.