Bootkit: backdoor sinowal znów w akcji

Przeczytaj także: Złośliwe programy: bootkit na celowniku

Aby stać się niewidocznym, rootkit zastępuje wskaźnik urządzenia jednym ze swoich własnych; w tym przypadku mamy do czynienia z określoną strukturą, w której zainfekowany sterownik zamienia wskaźnik na funkcję (ParseProcedure).
Jeżeli dysk fizyczny jest otwarty na dostęp programu antywirusowego w trybie niskopoziomowym, przechwycona funkcja zostanie wywołana. Procedura IRP sterownika zostanie przechwycona na niższym poziomie niż \Driver\Disk oraz funkcje, które są wywoływane, gdy uprzednio otwarty dysk jest zamknięty. Jak tylko dysk zostanie zamknięty, wszystkie funkcje przechwytujące powracają do stanu pierwotnego.

Zdaniem autorów artykułu na osobną uwagę zasługuje kod sterownika, który również przeszedł znaczące modyfikacje. Większość kluczowych funkcji, które instalują procedury przechwytujące funkcje systemu operacyjnego lub same są takimi procedurami przechwytującymi, zmieniła kształt, co znacznie komplikuje analizę szkodliwego kodu.