alexlubiy Опубликовано 9 апреля, 2011 Опубликовано 9 апреля, 2011 Исследователь в области безопасности компания «Лаборатория Касперского» сообщает о появлении нового MBR - руткита, посредством которого устанавливается троян, собирающий пароли пользователей он-лайн игр. По словам экспертов, в случае запуска руткит Rookit.Win32.Fisp.a создает копию главной загрузочной записи (MBR, Master Boot Record) жесткого диска и вместо нее внедряет собственный код, содержащий зашифрованный драйвер. Причем это никак не отразится на производительности системы, поскольку при попытке доступа к MBR вредонос перенаправит запрос к подлинной записи. Как отметил эксперт лаборатории Вячеслав Закоржевский, вредоносная программа подменяет лишь системный драйвер fips.sys, который, в принципе, не нужен для коректной работы Windows. Попав в систему, "новый" драйвер осуществляет сканирование запущенных процессов и в случае запуска антивирусного программного обеспечения блокирует этот процесс. Среди целевых, в основном присутствуют продукты китайских вендоров, однако есть несколько международных антивирусов, таких как AVG, BitDefender, Symantec, Kaspersky и ESET. После того, как антивирусное программное обеспечение нейтрализовано вредонос активирует троянскую программу, отвечающую за последующую загрузку необходимых компонентов с удаленного сервера. Так на компьютер жертвы попадает Trojan-GameThief.Win32.OnLineGames.boas, который и собирает данные пользователя. Следует отметить, что этот зловред пока распространяется среди пользователей Китая. Однако специалисты все же рекомендуют проверять любой загружаемый исполняемый файл с помощью Virus Total, даже если работает антивирус. Строгое предупреждение от модератора Mark D. Pearlstone Устное предупреждение за нарушение пункта 19 правил форума.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти