Технические детали
Бэкдор-буткит, похищающий конфиденциальную информацию пользователя. Является приложением Windows (PE-EXE файл). Размер инсталлятора может варьироваться в пределах от 300 до 460 КБ.
Инсталляция
При запуске инсталлятор записывает зашифрованное тело буткита в последние сектора жесткого диска, находящиеся за пределами используемого операционной системой дискового пространства. Для обеспечения автозагрузки буткит заражает MBR компьютера, записывая в него свой начальный загрузчик, который до старта операционной системы считывает с диска и разворачивает в памяти основное тело руткита, после чего отдает управление ОС и контроллирует процесс ее загрузки.
Маскировка в системе
Для скрытия своего присутствия в системе и предотвращения обнаружения антивирусными программами данный бэкдор перехватывает доступ к диску на уровне секторов. Для этого вредоносная программа подменяет обработчик запроса ввода/вывода IRP_MJ_INTERNAL_DEVICE_CONTROL в последнем драйвере стека загрузочного диска.
Деструктивная активность
Бэкдор скачивает с сайтов злоумышленника модуль-дополнение, содержащий шпионский функционал, и внедряет его в запущенные в системе процессы пользователя. Шпионский модуль перехватывает следующие системные функции поддержки шифрования:
CryptDestroytKey
CryptEncrypt
CryptDecrypt
и похищает все используемые в системе ключи шифрования а так же шифруемые и дешифруемые данные. Собранную информацию руткит отправляет на сайт злоумышленника. Бэкдор использует технологию постоянной миграции серверов злоумышленника, для этого используется специальный алгоритм генерации доменного имени в зависимости от текущей даты.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Для удаления данной вредоносной программы следует воспользоваться Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
