Эксперты из компании Bkav обнаружили новый тип вируса, так называемый руткит, который оснащён единственным в своём роде механизмом самозащиты который вызывает большие проблемы у антивирусных программ при обнаружении и удалении вируса.
Данный вирус умеет хорошо скрывать следы присутствия вредоносной программы в системе. Для этого вирус осуществляет “заморозку” деятельности жёсткого диска. “Заморозка” жёсткого диска является специфическим механизмом защиты руткита. При заражении системы вирус, создаёт другие исполняемые модули с целью выполнения своих функций и чтобы защитить себя, а также обеспечить своё распространению.
Кроме того значок жёсткого диска будет заменён на значок показанный на рисунке.
Один из установленных модулей (смотреть таблицу выше) - PassThru, – это драйвер сетевого модуля, блокирующий или перенаправляющий пользователя на определенные сайты.
А модуль Wininite подключается к C&C-серверам и получает от них команды. Один из этих серверов расположен в Китае, а другой – в США.
Модуль DiskFit является тем модулем который каждый раз после перезагрузки компьютера восстанавливает жёсткий диск компьютера до статуса, который был сразу после инфицирования машины. Благодаря этому вирус всякий раз как бы возрождает себя, не взирая на удаление вируса перед этим. Кроме того, DiskFit создаёт на компьютере жертвы область для хранения кэшированных данных, в которой хранится информация обо всех операциях, осуществляемых пользователем. Таким образом, каждая запись/чтение пользователя будет перенаправлена в область кэша, что не даёт пользователю изменить данные оригинального диска.
То есть каждый раз, когда пользователь проводит перезагрузку компьютера, все его действия на системе удаляются, начиная с создания или загрузки новых документов, и заканчивая установкой программного обеспечения.
Комментариев нет:
Отправить комментарий