Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Вредоносные программы » Зловред Cidox заражает код загрузочной области NTFS-раздела
Вредоносные программы

Зловред Cidox заражает код загрузочной области NTFS-раздела

автор: Zorro | 6 июля 2011, 03:14 | Просмотров: 13558
теги: Cidox, руткит, MBR



В последнее время модифицирование областей жесткого диска, ответственных за начальную загрузку системы, становится все более популярным у злоумышленников. При этом если раньше мы видели только изменение MBR (основная загрузочная запись), то сейчас злоумышленники переключились на заражение кода загрузчика NTFS-раздела.

Недавно нами был обнаружен интересный зловред — Cidox. Его особенность в том, что он заражает код загрузочной области загрузочного раздела на жестком диске.

Основной файл Trojan-Dropper.Win32.Cidox «несет на борту» два драйвера-руткита (Rootkit.Win32/Win64.Cidox). Один из них скомпилирован под 32-битную платформу, а второй — под 64-битную.

Исходный компонент Cidox модифицирует начальную область жесткого диска:
  • Записывает соответствующий драйвер в свободные сектора в начале жесткого диска.

  • Для заражения выбирает раздел, помеченный как загрузочный в таблице разделов в MBR. Важно отметить, что заражаются только разделы с файловой системой NTFS.

  • Записывает часть своего кода поверх области Extended NTFS IPL (Initial Program Loader), которая отвечает за разбор таблицы MFT (Master File Table), поиск файла с загрузчиком в корневой директории раздела (ntldr — до Vista, bootmgr — Vista+), считывание этого файла с диска и передачу управления на него. При этом оригинальное содержимое Extended NTFS IPL сохраняется в зашифрованном виде и дописывается в конец зловредного кода.

    Фрагмент начальной области жесткого диска, зараженной CidoxФрагмент начальной области жесткого диска, зараженной Cidox



При следующей загрузке системы будет вызван вредоносный код загрузочной области. Он с помощью известной техники, используя перехват Int 13h и некоторых функций ядра Windows, успешно загрузит вредоносный драйвер в систему. Загруженный драйвер с помощью функции PsSetCreateProcessNotifyRoutine контролирует запуск следующих процессов:
  • svchost.exe
  • iexplore.exe
  • firefox.exe
  • opera.exe
  • chrome.exe

Фрагмент руткита Rootkit.Win32.Cidox, содержащий строки с названиями контролируемых браузеровФрагмент руткита Rootkit.Win32.Cidox, содержащий строки с названиями контролируемых браузеров


Если обнаружен запуск одного из перечисленных выше процессов, то в него внедряется еще один компонент Cidox — динамическая библиотека (Trojan.Win32.Cidox). Эта библиотека модифицирует любую выдачу браузера, заменяя ее на свою. В результате пользователь видит в окне браузера предложение обновить браузер в связи с тем, что в системе якобы обнаружены те или иные вредоносные программы. В приведенном ниже примере пользователю предлагается обновить браузер в связи с заражением троянцем Trojan.Win32.Ddox.ci.

Фрагмент работы браузера на системе, инфицированной CidoxФрагмент работы браузера на системе, инфицированной Cidox


«Обновление», разумеется, платное. Чтобы его получить, необходимо отправить SMS на короткий номер. Для каждого из популярных браузеров используются уникально оформленные страницы.
Чтобы «обновление», необходимо отправить SMS на короткий номерЧтобы «обновление», необходимо отправить SMS на короткий номер


Отметим, что новую версию браузера на самом деле можно скачать бесплатно с сайта производителя. Таким образом, запугивая пользователей, злоумышленники просто вымогают у них деньги.

автор:
Закоржевский Вячеслав




источник:
securelist.com/ru/
@ Константин
29 июля 2011, 10:14 | |  
Аватар пользователя Константин
карма:
комментариев: 0
новостей: 0
группа: Гости
Поймал такую радость. как его вылечить?
@ Administrator
29 июля 2011, 17:17 | |  
Аватар пользователя Administrator
карма: +4676.166
комментариев: 239
новостей: 1005
группа: SysOp
Константин,
Попробуйте загрузить и использовать дополнения к антивирусам.
@ Chiper
7 января 2012, 02:34 | |  
Аватар пользователя Chiper
карма:
комментариев: 0
новостей: 0
группа: Гости
Попалась несколько дней назад (2 января) эта зараза. Nod32 я не обновлял довольно давно и он не обнаружал никаких угроз. Грохнул я этого гада вручную, обнаружив в реестре новый раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] с нетипичными для "windows" ключами. По одному из ключей я обнаружил путь к dll с рандомным названием которая находилась в папке system32, это меня и насторожило.
Вообщем удалил из ветки реестра всё лишнее и перезагрузил компьютер. после этого dll передал на анализ и обновил NOD. После перезагрузки ПК сайты вновь стали открываться, а NOD подчистил за трояном оставшуюся заразу.
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.