30.09.2013, 09:38
Kilkanaście dni temu laboratorium Bkav- wietnamskiej firmy produkującej rozwiązania AV - poinformowało o wykryciu wirusa z ciekawym i skutecznym mechanizmem własnej ochrony. Otóż jeden z czterech rozpoznanych modułów wirusa, które się instalują w systemie tzw. DiskFlt.sys tworzy niejako punkt przywracania systemu, który powoduje, że wszystkie zmiany dokonane w systemie, własnych dokumentach czy jakichkolwiek innych plikach zawsze po restarcie systemu sa przywracane do stanu wyjściowego czyli...z infekcją. Moduł ten tworzy urządzenie, na którym zapisany zostaje stan systemu, a ponadto tworzy obszar w pamięci, do którego zapisywane są wszystkie zmiany dokonane od tego momentu - tworzone i zapisywane dokumenty, ściągane pliki, instalowane programy oraz próby usunięcia wirusa. To daje w rezultacie pozorny efekt pracy na systemie...właściwie można powiedzieć, że mamy tu wirtualny system. Moduł ten podmienia również ikonę dysku systemowego
Wirus instaluje ponadto jeszcze poniższe moduły:
- Wininite który jest odpowiedzialny za komunikacje z 2 serwerami C&C (Chiny i USA)
- PassThru który odpowiada za blokowanie niektórych stron i przekierowanie na inne
- Black.dll ktory odpowiada za propagację (rozmnażanie wirusa)
Źródło informacji i grafik
[Aby zobaczyć linki, zarejestruj się tutaj]
Wirus instaluje ponadto jeszcze poniższe moduły:
- Wininite który jest odpowiedzialny za komunikacje z 2 serwerami C&C (Chiny i USA)
- PassThru który odpowiada za blokowanie niektórych stron i przekierowanie na inne
- Black.dll ktory odpowiada za propagację (rozmnażanie wirusa)
[Aby zobaczyć linki, zarejestruj się tutaj]
Źródło informacji i grafik
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]