Исследователи из вьетнамской компании Bkav, специализирующейся в области сетевой безопасности, обнаружили вредоносную программу с необычным механизмом самозащиты. Проникнув на компьютер, зловред создает некое подобие точки возврата: регистрирует все модификации, производимые пользователем в файловой системе, и откатывает их при рестарте, возвращая жесткий диск в состояние на момент заражения. Это означает, что все внесенные в ходе сессии изменения: новые документы, закачанные программы и данные, правки, результаты копирования — после перезагрузки будут потеряны, а вредоносная программа возродится, даже если ее только что удалили.

По свидетельству Bkav, при запуске новый зловред (поведенческие анализаторы «Лаборатории Касперского» ловят его с вердиктом PDM:Trojan.Win32.Staser.a) подменяет иконку жесткого диска и создает другие исполняемые модули:

  • Wininite.exe для получения команд с двух C&C-серверов, один из которых размещен в Китае, другой — в США;
  • DiskFit.sys — драйвер, отвечающий за восстановление прежнего статуса HDD;
  • PassThru.sys — сетевой драйвер для блокировки доступа к заданным сайтам и редиректа;
  • Black.dll — для распространения угрозы.

Чтобы произвести откат, DiskFit создает виртуальное устройство для контроля считывания/записи данных и кэширующую область на диске. Когда пользователь инициирует операцию чтения или записи, DiskFit копирует запрошенные данные в кэширующую область и обеспечивает перенаправление. В результате пользователь теряет возможность вносить какие-либо изменения в файловую систему.

заморозка HDD - Bkav

(источник: Bkav)

«Этот вирус, видимо, можно рассматривать как руткит, хотя его механизм самозащиты весьма необычен, — резюмируют эксперты. — Вместо того чтобы упреждать враждебные действия против своих модулей, как это делает обычный руткит, он поддерживает в неизменном состоянии весь диск». Для лечения новой угрозы Bkav выпустила бесплатную утилиту.

Категории: Вредоносные программы, Главное