6 kwietnia 2011

Nowy szkodliwy program przejmuje kontrolę nad systemem operacyjnym

Kaspersky Lab informuje o wykryciu nowego szkodliwego programu, który infekuje sektory startowe dysków twardych i uruchamia się przed startem systemu operacyjnego. Nowy bootkit - Rookit.Win32.Fisp.a - rozprzestrzenia się poprzez sfałszowaną chińską stronę WWW zawierającą materiały pornograficzne.

Rootkit.Win32.Fisp.a infekuje sektor startowy dysku twardego i instaluje swój kod pod postacią zaszyfrowanego sterownika. Szkodliwy program przejmuje kontrolę natychmiast po włączeniu komputera – jeszcze przed załadowaniem się systemu operacyjnego. W trakcie uruchamiania systemu bootkit przechwytuje jedną z jego funkcji, co pozwala mu podmienić sterownik fips.sys swoim własnym kodem. Warto wspomnieć, że sterownik fips.sys nie jest wymagany do poprawnej pracy systemu operacyjnego i z tego powodu użytkownik nie zauważy żadnych objawów infekcji komputera.

Przy użyciu mechanizmu wbudowanego w system Windows bootkit przechwytuje wszystkie uruchamiane procesy i szuka w nich następujących tekstów charakterystycznych dla programów antywirusowych:

  • Beike
  • Beijing Rising Information Technology
  • AVG Technologies
  • Trend Micro
  • BITDEFENDER LLC
  • Symantec Corporation
  • Kaspersky Lab
  • ESET, spol
  • Beijing Jiangmin
  • Kingsoft Software
  • 360.cn
  • Keniu Network Technology (Beijing) Co
  • Qizhi Software (beijing) Co

Po wykryciu jednego z tych tekstów szkodnik modyfikuje uruchamiany proces, w wyniku czego niektóre aplikacje antywirusowe mogą funkcjonować niepoprawnie.

Po zakończeniu instalacji bootkit wysyła do cyberprzestępcy przez Internet szereg danych dotyczących zainfekowanego komputera, w tym numer wersji systemu operacyjnego, adres IP oraz adres MAC. Dodatkową funkcją szkodnika jest instalowanie w systemie narzędzia, które pobiera kolejne niebezpieczne programy (Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas). Trojany te kradną, między innymi, dane dotyczące kont wykorzystywanych w grach online.

Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed nowym bootkitem.

Szczegóły techniczne dotyczące nowego zagrożenia można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html?weblogid=723.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.