Руткит сохраняет HDD в неизменном состоянии

Тема в разделе 'IT, железо, софт, интернет, игры', создана пользователем VolonoFF, 20 сен 2013.

  1. TopicStarter Overlay
    VolonoFF

    VolonoFF Автор

    На форуме с:
    13 авг 2013
    Сообщения:
    1.621
    Вьетнамская антивирусная компания Bkav обнаружила зловред с очень необычным механизмом самозащиты. Чтобы защититься от удаления, этот руткит как бы «замораживает» жесткий диск в карантине. С момента заражения любое изменение, которые пользователь вносит в файловую систему, будет потеряно после перезагрузки. То есть каждый новый файл исчезнет, изменившийся файл вернется в исходное состояние, а удаленный файл восстановится.

    Предварительно вирус создаёт несколько исполняемых модулей для выполнения своих функций и защиты диска.

    [​IMG]

    Wininite.exe получает команды от двух управляющих серверов nb.gg.xiaozi.com и cc.176bazhe.com:555, один в Китае, в торой в США.

    DiskFit.sys — драйвер, который и осуществляет откат HDD к предыдущему состоянию.

    PassThru.sys — сетевой драйвер для блокировки доступа к веб-сайтам и редиректа.

    Black.dll — модуль для распространения вируса.

    «Заморозка» HDD осуществляется путем установки нового виртуального устройства, которое контролирует запись и считывание с диска. DiskFit.sys также создает кэширующую область на диске, в которой происходят все операции. Если пользователь пытается изменить файл, его запрос на доступ к файлу блокируется, менеджер DiskFit.sys копирует файл в кэширующую область и перенаправляет запрос пользователя туда.

    [​IMG]

    Для удаления заразы Bkav рекомендует скачать утилиту BkavRootFreezeRemover

    Ссылка на утилиту http://security.bkav.com/new-virus-self-protects-by-freezing-hard-disk-drive/
     
    Admin нравится это.
  2.