Nowy bootkit - Rookit.Win32.Fisp.a
2011-04-08 10:02
Przeczytaj także: Trojany i fałszywe aktualizacje ogromnym zagrożeniem w Polsce
Przy użyciu systemowej funkcji PsSetLoadImageNotifyRoutine bootkit przechwytuje wszystkie procesy uruchamiane w systemie i przegląda sekcję "Security" w ich nagłówkach. Zainfekowany sterownik zawiera listę tekstów, które znajdują się w nagłówkach procesów popularnych programów antywirusowych. Po wykryciu jednego z tych tekstów szkodnik modyfikuje proces, w wyniku czego aplikacje antywirusowe mogą funkcjonować niepoprawnie.
Lista tekstów, które znajdują się w nagłówkach procesów popularnych programów antywirusowych:
- Beike
- Beijing Rising Information Technology
- AVG Technologies
- Trend Micro
- BITDEFENDER LLC
- Symantec Corporation
- Kaspersky Lab
- Beijing Jiangmin ESET, spol
- Kingsoft Software
- 360.cn
- Keniu Network Technology (Beijing) Co
- Qizhi Software (beijing) Co,
Głównym zadaniem zainfekowanego sterownika jest przechwycenie procesu explorer.exe (Eksplorator systemu Windows) i wstrzyknięcie w jego kod alternatywnej wersji bootkita Rootkit.Win32.Fisp.a, która posiada możliwość pobierania innych szkodliwych programów z Internetu. Szkodliwy program wysyła zapytanie do serwera kontrolowanego przez cyberprzestępcę i wysyła do niego informacje o zainfekowanym komputerze (wersja systemu operacyjnego, adres IP, adres MAC itd.).
Następnie szkodliwy program pobiera na zainfekowany komputer dwa trojany: Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas.
1 2
oprac. : Katarzyna Sikorska / eGospodarka.pl
Przeczytaj także
-
Cyberwłamania ze wzrostem o ponad 100%. Ransomware na topie
-
Squid Game: jakie pułapki zastawiają cyberprzestępcy?
-
Ransomware bardziej przerażający niż inne cyberataki
-
Ransomware to biznes. Jak się chronić?
-
Cyberbezpieczeństwo: ransomware uderza w polski sektor edukacji i badań
-
7 sposobów na ataki ransomware. Poradnik przedsiębiorcy
-
Uwaga! Trojany i stalkerware okradają i szpiegują urządzenia mobilne
-
Fortinet: urządzenia sieciowe w zagrożeniu
-
Złośliwe oprogramowanie. Ransomware uderza w dyski NAS