Nowy bootkit - Rookit.Win32.Fisp.a

Przeczytaj także: Trojany i fałszywe aktualizacje ogromnym zagrożeniem w Polsce

Przy użyciu systemowej funkcji PsSetLoadImageNotifyRoutine bootkit przechwytuje wszystkie procesy uruchamiane w systemie i przegląda sekcję "Security" w ich nagłówkach. Zainfekowany sterownik zawiera listę tekstów, które znajdują się w nagłówkach procesów popularnych programów antywirusowych. Po wykryciu jednego z tych tekstów szkodnik modyfikuje proces, w wyniku czego aplikacje antywirusowe mogą funkcjonować niepoprawnie.

Lista tekstów, które znajdują się w nagłówkach procesów popularnych programów antywirusowych:

• Beike
• Beijing Rising Information Technology
• AVG Technologies
• Trend Micro
• BITDEFENDER LLC
• Symantec Corporation
• Kaspersky Lab
• Beijing Jiangmin ESET, spol
• Kingsoft Software
• 360.cn
• Keniu Network Technology (Beijing) Co
• Qizhi Software (beijing) Co,

Głównym zadaniem zainfekowanego sterownika jest przechwycenie procesu explorer.exe (Eksplorator systemu Windows) i wstrzyknięcie w jego kod alternatywnej wersji bootkita Rootkit.Win32.Fisp.a, która posiada możliwość pobierania innych szkodliwych programów z Internetu. Szkodliwy program wysyła zapytanie do serwera kontrolowanego przez cyberprzestępcę i wysyła do niego informacje o zainfekowanym komputerze (wersja systemu operacyjnego, adres IP, adres MAC itd.).

Następnie szkodliwy program pobiera na zainfekowany komputer dwa trojany: Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas.