Nowy bootkit przejmuje kontrolę nad systemem operacyjnym

Nowy bootkit – Rookit.Win32.Fisp.a – rozprzestrzenia się poprzez sfałszowaną chińską stronę www zawierającą materiały pornograficzne.

Rootkit.Win32.Fisp.a infekuje sektor startowy dysku twardego i instaluje swój kod pod postacią zaszyfrowanego sterownika. Szkodliwy program przejmuje kontrolę natychmiast po włączeniu komputera – jeszcze przed załadowaniem się systemu operacyjnego. W trakcie uruchamiania systemu bootkit przechwytuje jedną z jego funkcji, co pozwala mu podmienić sterownik fips.sys swoim własnym kodem. Sterownik fips.sys nie jest wymagany do poprawnej pracy systemu operacyjnego i z tego powodu użytkownik nie zauważy żadnych objawów infekcji komputera.

Przy użyciu mechanizmu wbudowanego w system Windows bootkit przechwytuje wszystkie uruchamiane procesy i szuka w nich następujących tekstów charakterystycznych dla programów antywirusowych:

- Beike - Beijing Rising Information Technology - AVG Technologies - Trend Micro - BITDEFENDER LLC - Symantec Corporation - Kaspersky Lab - ESET, spol - Beijing Jiangmin - Kingsoft Software - 360.cn - Keniu Network Technology (Beijing) Co - Qizhi Software (beijing) Co

Po wykryciu jednego z tych tekstów szkodnik modyfikuje uruchamiany proces, w wyniku czego niektóre aplikacje antywirusowe mogą funkcjonować niepoprawnie.

Po zakończeniu instalacji bootkit wysyła do cyberprzestępcy przez internet szereg danych dotyczących zainfekowanego komputera, w tym numer wersji systemu operacyjnego, adres IP oraz adres MAC. Dodatkową funkcją szkodnika jest instalowanie w systemie narzędzia, które pobiera kolejne niebezpieczne programy (Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas). Trojany te kradną m.in. dane dotyczące kont wykorzystywanych w grach online.