Новый вирус «замораживает» жёсткий диск компьютера

Эксперты из компании Bkav обнаружили и проанализировали так называемый руткит, который скрывает следы присутствия злоумышленника или вредоносной программы в системе.

“Заморозка” жёсткого диска является специфическим механизмом защиты руткита. Вирус запускает несколько модулей, которые исполняют основные функции вредоносного ПО, и способствуют его распространению.

Один из них, PassThru, – это драйвер сетевого модуля, блокирующий или перенаправляющий пользователя на определенные сайты. А модуль Wininite подключается к C&C-серверам и получает от них команды. Один из этих серверов расположен в Китае, а другой – в США.

Наконец, модуль DiskFit каждый раз после перезагрузки компьютера восстанавливает жёсткий диск компьютера до статуса, который был до инфицирования машины.

Кроме того, DiskFit создаёт на компьютере жертвы область для хранения кэшированных данных, в которой хранится информация обо всех операциях, осуществляемых пользователем.

Таким образом, пользователь не может вносить изменения в данные на оригинальном диске.

Каждый раз, когда пользователь проводит перезагрузку компьютера, все его действия на системе удаляются, начиная с создания или загрузки новых документов, и заканчивая установкой программного обеспечения.

via

Категории: Безопасность