Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Chiński bootkit

Wiaczesław Zakorzewski
Kaspersky Lab Expert
Dodany 6 kwietnia 2011, 13:20 CEST
Tagi:

Wykryliśmy nowego bootkita, czyli szkodliwy program infekujący sektor startowy dysku twardego. Nasze produkty identyfikują nowe zagrożenie jako Rookit.Win32.Fisp.a. Bootkit jest rozprzestrzeniany przez trojana Trojan-Downloader.NSIS.Agent.jd, który infekuje komputery użytkowników wchodzących na sfałszowaną chińską stronę, zawierającą materiały pornograficzne. Cechą wyróżniającą trojana jest to, że pobiera on inne szkodliwe programy przy użyciu mechanizmu NSIS. NSIS - Skryptowy System Instalacji Nullsoft (Nullsoft Scriptable Install System) - pozwala programistom na tworzenie plików instalacyjnych dla platformy Windows. Rozprowadzany jest na licencji open source i jest całkowicie darmowy dla dowolnego zastosowania.


Fragment skryptu NSIS pochodzący z trojana Trojan-Downloader.NSIS.Agent.jd

Pobrany przez trojana bootkit Rootkit.Win32.Fisp.a infekuje sektor startowy dysku twardego, a dokładniej zapisuje oryginalną zawartość w trzecim sektorze dysku i umieszcza w jego pierwotnej lokalizacji swój kod. Począwszy od czwartego sektora szkodnik instaluje swój kod pod postacią zaszyfrowanego sterownika.


Fragment zawartości dysku twardego zainfekowanego bootkitem Rootkit.Win32.Fisp.a

Szkodliwy kod przejmuje kontrolę natychmiast po włączeniu komputera - jeszcze przed załadowaniem się systemu operacyjnego. Pierwszą czynnością bootkita jest przechwycenie przerwania INT 13h. Następnie szkodnik przywraca oryginalny sektor startowy (zapisany wcześniej w trzecim sektorze dysku) i kontynuuje standardowe uruchamianie komputera.

W trakcie uruchamiania systemu operacyjnego bootkit przechwytuje funkcję ExVerifySuite, co pozwala mu podmienić sterownik fips.sys swoim własnym kodem. Warto wspomnieć, że sterownik fips.sys nie jest wymagany do poprawnej pracy systemu operacyjnego i z tego powodu użytkownik nie zauważy żadnych objawów infekcji komputera.

Przy użyciu systemowej funkcji PsSetLoadImageNotifyRoutine bootkit przechwytuje wszystkie procesy uruchamiane w systemie i przegląda sekcję "Security" w ich nagłówkach. Zainfekowany sterownik zawiera listę tekstów (patrz poniżej), które znajdują się w nagłówkach procesów popularnych programów antywirusowych. Po wykryciu jednego z tych tekstów szkodnik modyfikuje proces, w wyniku czego aplikacje antywirusowe mogą funkcjonować niepoprawnie.

  • Beike
  • Beijing Rising Information Technology
  • AVG Technologies
  • Trend Micro
  • BITDEFENDER LLC
  • Symantec Corporation
  • Kaspersky Lab
  • ESET, spol
  • Beijing Jiangmin
  • Kingsoft Software
  • 360.cn
  • Keniu Network Technology (Beijing) Co
  • Qizhi Software (beijing) Co,

Głównym zadaniem zainfekowanego sterownika jest przechwycenie procesu explorer.exe (Eksplorator systemu Windows) i wstrzyknięcie w jego kod alternatywnej wersji bootkita Rootkit.Win32.Fisp.a, która posiada możliwość pobierania innych szkodliwych programów z Internetu. Szkodliwy program wysyła zapytanie do serwera kontrolowanego przez cyberprzestępcę i wysyła do niego informacje o zainfekowanym komputerze (wersja systemu operacyjnego, adres IP, adres MAC itd.).

Następnie szkodliwy program pobiera na zainfekowany komputer dwa trojany: Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas.

Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed nowym bootkitem.