Nowy bootkit - Rookit.Win32.Fisp.a

Przeczytaj także: Trojany i fałszywe aktualizacje ogromnym zagrożeniem w Polsce

Wykryliśmy nowego bootkita, czyli szkodliwy program infekujący sektor startowy dysku twardego. Nasze produkty identyfikują nowe zagrożenie jako Rookit.Win32.Fisp.a. Bootkit jest rozprzestrzeniany przez trojana Trojan-Downloader.NSIS.Agent.jd, który infekuje komputery użytkowników wchodzących na sfałszowaną chińską stronę, zawierającą materiały pornograficzne. Cechą wyróżniającą trojana jest to, że pobiera on inne szkodliwe programy przy użyciu mechanizmu NSIS. NSIS - Skryptowy System Instalacji Nullsoft (Nullsoft Scriptable Install System) - pozwala programistom na tworzenie plików instalacyjnych dla platformy Windows. Rozprowadzany jest na licencji open source i jest całkowicie darmowy dla dowolnego zastosowania.

Pobrany przez trojana bootkit Rootkit.Win32.Fisp.a infekuje sektor startowy dysku twardego, a dokładniej zapisuje oryginalną zawartość w trzecim sektorze dysku i umieszcza w jego pierwotnej lokalizacji swój kod. Począwszy od czwartego sektora szkodnik instaluje swój kod pod postacią zaszyfrowanego sterownika.

Szkodliwy kod przejmuje kontrolę natychmiast po włączeniu komputera - jeszcze przed załadowaniem się systemu operacyjnego. Pierwszą czynnością bootkita jest przechwycenie przerwania INT 13h. Następnie szkodnik przywraca oryginalny sektor startowy (zapisany wcześniej w trzecim sektorze dysku) i kontynuuje standardowe uruchamianie komputera.

W trakcie uruchamiania systemu operacyjnego bootkit przechwytuje funkcję ExVerifySuite, co pozwala mu podmienić sterownik fips.sys swoim własnym kodem. Warto wspomnieć, że sterownik fips.sys nie jest wymagany do poprawnej pracy systemu operacyjnego i z tego powodu użytkownik nie zauważy żadnych objawów infekcji komputera.