Νέο Rootkit παγώνει τον δίσκο και αναπαράγει τον εαυτό του

Posted by - Giorgos Ster on - Πέμπτη, Σεπτεμβρίου 19, 2013

Ερευνητές ασφαλείας από μια εταιρεία ασφαλείας του Βιετνάμ την Bkav ανακάλυψαν έναν ενδιαφέροντα ιό που αυτό-προστατεύεται από προγράμματα antivirus παγώνοντας τον σκληρό δίσκο. Μόλις μολύνει μια συσκευή, ο ιός δημιουργεί ένα είδος σημείου επαναφοράς. Όλες οι ρυθμίσεις του ιδιοκτήτη θα μηδενιστούν. Διαγράφονται επίσης όλα τα νέα αρχεία που υπάρχουν στον υπολογιστή. Ο ιός δίχως όλα τα άλλα, αλλάζει και το εικονίδιο του σκληρού δίσκου.

Αρκετά εκτελέσιμα αρχεία διαγράφονται και άλλα τα χρησιμοποιεί για διαφορετικούς σκοπούς από αυτούς που έχουν ρυθμιστεί.
harddiskfreeze_22

Για παράδειγμα, με το module, Wininite επικοινωνεί με δύο διακομιστές διοίκησης και ελέγχου.
Ο ένας βρίσκεται στην Κίνα και ο άλλος κάπου στις Ηνωμένες Πολιτείες. Με το DiskFlt, παγώνει τον σκληρό δίσκο του θύματος. Για να το κάνει αυτό, το malware ελέγχει τα δικαιώματα read και write στο δίσκο.
Το DiskFlt.sys είναι επίσης υπεύθυνο για την ανάκτηση του σκληρού δίσκου στο σημείο επαναφοράς που ο υπολογιστής είχε ήδη μολυνθεί. Χάρη σε αυτό το module, ο ιός μπορεί να «ξαναγεννηθεί» από μόνος του μετά την επανεκκίνηση του υπολογιστή, ακόμα και αν έχει αφαιρεθεί.

harddiskfreeze_42

Βέβαια οι κακόβουλες διεργασίες του malware δεν σταματούν εδώ, αφού χρησιμοποιώντας το PassThru εμποδίζει ή ανακατευθύνει σε ορισμένες προκαθορισμένες ιστοσελίδες.
«Προφανώς, ο ιός αυτός μπορεί να θεωρηθεί ένα rootkit και έχει ένα αρκετά ισχυρό μηχανισμό αυτοπροστασίας. Αυτό το νέο είδος rootkit αποτρέπει τις αλλαγές σε ολόκληρο το δίσκο, » αναφέρουν οι εμπειρογνώμονες.
Σε περίπτωση που ο υπολογιστής σας μολυνθεί με τον ιό, μπορείτε να τον διαγράψετε με ένα ειδικό εργαλείο αφαίρεσης που ανέπτυξε η Bkav.

Download BkavRootFreezeRemover

iguru.gr