Новый руткит замораживает жесткий диск


BkavСпециалисты вьетнамской IT-компании Bkav обнаружили и проанализировали новый руткит, использующий новый механизм защиты - "замораживание" жесткого диска компьютера жертвы и изменение иконки жесткого диска.

В дальнейшем вирус запускает несколько исполняемых модулей, выполняющие основные функции вредоносных программ и способствуют их распространению. Например:

  • PassThru – драйвер сетевого модуля, блокирующий или перенаправляющий пользователя на определенные web-сайты.
  • Модуль Wininite - подключается к C&C-серверам и получает от них команды. Один из этих серверов расположен в Китае, а один в США.

  • DiskFit – модуль, который каждый раз после перезагрузки компьютера восстанавливает жесткий диск компьютера до статуса, который был до инфицирования ПК.

Также DiskFit создает на компьютере жертвы область для хранения кэшированных данных, где хранится информация о всех операциях осуществляемых пользователем. Таким образом, пользователь не может вносить изменения в данные на оригинальном диске.

Каждый раз после перезагрузки пользователем компьютера, все его действия в системе удаляются, независимо от сложности совершенных действий.


Обновлено (19.09.2013 22:15)