08.04.2011, 10:35
Nowy bootkit - Rookit.Win32.Fisp.a - rozprzestrzenia się poprzez sfałszowaną chińską stronę WWW zawierającą materiały pornograficzne. Infekuje on sektor startowy dysku twardego i instaluje swój kod pod postacią zaszyfrowanego sterownika. Szkodliwy program przejmuje kontrolę natychmiast po włączeniu komputera - jeszcze przed załadowaniem się systemu operacyjnego.
W trakcie uruchamiania systemu bootkit przechwytuje jedną z jego funkcji, co pozwala mu podmienić sterownik fips.sys swoim własnym kodem. Warto wspomnieć, że sterownik fips.sys nie jest wymagany do poprawnej pracy systemu operacyjnego i z tego powodu użytkownik nie zauważy żadnych objawów infekcji komputera.
Przy użyciu mechanizmu wbudowanego w system Windows bootkit przechwytuje wszystkie uruchamiane procesy i szuka w nich tekstów charakterystycznych dla programów antywirusowych.
Po wykryciu antywira szkodnik modyfikuje uruchamiany proces, w wyniku czego niektóre aplikacje antywirusowe mogą funkcjonować niepoprawnie.
Po zakończeniu instalacji bootkit wysyła do cyberprzestępcy przez internet dane dotyczące zainfekowanego komputera, w tym numer wersji systemu operacyjnego, adres IP oraz adres MAC. Dodatkową funkcją szkodnika jest instalowanie w systemie narzędzia, które pobiera kolejne niebezpieczne programy (Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas). Trojany te kradną, między innymi, dane dotyczące kont wykorzystywanych w grach online.
source: hacking.pl
W trakcie uruchamiania systemu bootkit przechwytuje jedną z jego funkcji, co pozwala mu podmienić sterownik fips.sys swoim własnym kodem. Warto wspomnieć, że sterownik fips.sys nie jest wymagany do poprawnej pracy systemu operacyjnego i z tego powodu użytkownik nie zauważy żadnych objawów infekcji komputera.
Przy użyciu mechanizmu wbudowanego w system Windows bootkit przechwytuje wszystkie uruchamiane procesy i szuka w nich tekstów charakterystycznych dla programów antywirusowych.
Po wykryciu antywira szkodnik modyfikuje uruchamiany proces, w wyniku czego niektóre aplikacje antywirusowe mogą funkcjonować niepoprawnie.
Po zakończeniu instalacji bootkit wysyła do cyberprzestępcy przez internet dane dotyczące zainfekowanego komputera, w tym numer wersji systemu operacyjnego, adres IP oraz adres MAC. Dodatkową funkcją szkodnika jest instalowanie w systemie narzędzia, które pobiera kolejne niebezpieczne programy (Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas). Trojany te kradną, między innymi, dane dotyczące kont wykorzystywanych w grach online.
source: hacking.pl