Posted by MinO | 0 comments

Rootkit προστατεύει τον εαυτό του "παγώνοντας" τον σκληρό δίσκο



Ερευνητές της γνωστής εταιρίας ασφαλείας Bkav από το Βιετνάμ, εντόπισαν έναν νέο ιό υπολογιστή που προστατεύει τον εαυτό του από τα προγράμματα antiVirus, "παγώνοντας" (freezing) τον σκληρό δίσκο. 

Μόλις μολύνει τον υπολογιστή, δημιουργεί ένα είδος restore point, και κάθε φορά που γίνεται restart, ακυρώνει ότι έχει κάνει ο χρήστης ως τότε, και επαναφέρει τον δίσκο στην μολυσμένη του κατάσταση, διαγράφοντας αρχεία, ακυρώνοντας αλλαγές σε αυτά κλπ, ενώ αλλάζει και το εικονίδιο του δίσκου, με αποτέλεσμα να επαναμολύνει το μηχάνημα ακόμα και αν έχει αφαιρεθεί προσωρινά.

Εκτός αυτών τοποθετεί και διάφορα εκτελέσιμα Modules, όπως το Wininite που είναι υπεύθυνο για την επικοινωνία με 2 C&C servers στις Κίνα και ΗΠΑ και το DiskFlt που είναι αρμόδιο για την επαναφορά του δίσκου, όπως περιγράφεται παρακάτω.

HELP NET SECURITY published a statement on 18th September, 2013 quoting Tran Trung Nghia, a malware Researcher as saying "DiskFlt generates a device attached to a Disk Device that controls the reading and writing of data on the disk and it also generates a 'cache' data area.

When Internaut has data reading/writing operations available on disk, 'DiskFlt' will generate a copy of that data area and place it on the 'cache' area. Henceforth, each reading/writing operation will be forwarded to the 'cache' area that makes the Internaut incapable to alter the data of the original disk." 
Το τρίτο εκτελέσιμο στο οπλοστάσιο του rootkit είναι το PassThru που μπλοκάρει ή κάνει redirect συγκεκριμένα websites και μαζί με το Black.dll βοηθάει στην εξάπλωση του ιού.

[via]

0 comments: