Chiński rootkit atakuje dyski

Wykryto nowego wirusa atakującego sektory startowe dysków twardych i uruchamiającego się przed startem systemu operacyjnego.

Nowy bootkit - Rookit.Win32.Fisp.a - rozprzestrzenia się poprzez sfałszowaną chińską stronę WWW zawierającą materiały pornograficzne. Infekuje on sektor startowy dysku twardego i instaluje swój kod pod postacią zaszyfrowanego sterownika. Szkodliwy program przejmuje kontrolę natychmiast po włączeniu komputera - jeszcze przed załadowaniem się systemu operacyjnego.

W trakcie uruchamiania systemu bootkit przechwytuje jedną z jego funkcji, co pozwala mu podmienić sterownik fips.sys swoim własnym kodem. Warto wspomnieć, że sterownik fips.sys nie jest wymagany do poprawnej pracy systemu operacyjnego i z tego powodu użytkownik nie zauważy żadnych objawów infekcji komputera.

Reklama

Przy użyciu mechanizmu wbudowanego w system Windows bootkit przechwytuje wszystkie uruchamiane procesy i szuka w nich tekstów charakterystycznych dla programów antywirusowych.

Po wykryciu antywira szkodnik modyfikuje uruchamiany proces, w wyniku czego niektóre aplikacje antywirusowe mogą funkcjonować niepoprawnie.

Po zakończeniu instalacji bootkit wysyła do cyberprzestępcy przez internet dane dotyczące zainfekowanego komputera, w tym numer wersji systemu operacyjnego, adres IP oraz adres MAC. Dodatkową funkcją szkodnika jest instalowanie w systemie narzędzia, które pobiera kolejne niebezpieczne programy (Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas). Trojany te kradną, między innymi, dane dotyczące kont wykorzystywanych w grach online.

Źródło: hacking.pl

Źródło informacji

hacking.pl
Dowiedz się więcej na temat: wirus komputerowy
Reklama
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy