Trojan, który ukrywa się w narzędziu do przywracania systemu Windows

Dzięki wykradzeniu danych logowania do gier online w chińskich kafejkach internetowych oraz dokonanej w konsekwencji tego czynu odsprzedaży danych kryminaliści spowodowali szkody o wartości około 1,2 miliarda dolarów. Takie informacje przedstawił w Genewie pracujący dla Microsoftu specjalista od wirusów Chun Feng podczas odbywającej się właśnie konferencji Virus Bulletin poświęconej walce ze szkodliwym oprogramowaniem. Przestępcy zastosowali trojana o nazwie Dogrobot, który ukrywa się w systemie i jest w stanie przeżyć nawet proces przywracania systemu.

Obraz

Zagrożenie

Jak twierdzi Feng, wirus tworzy sobie tylne drzwi w narzędziu przywracania systemu Windows. Najprawdopodobniej korzysta przy tym z luki znajdującej się w kartach Hard Disk Recovery Cards, wbudowanych w wiele komputerów w chińskich kafejkach. Karty mają zapobiegać przed zapisywaniem danych na dyskach i w ten sposób utrudniać infekcje wirusami albo też ułatwiać przywracanie systemu do poprzedniego stanu. Dyski twarde wyposażone w taki mechanizm sprzedaje między innymi firma Excelstor [Gstor-Plus). W Polsce takie systemy jak na razie nie zyskały sobie popularności.

Obraz
© (fot. Jupiterimages)

Dogrobot to "szkodnik", który krążąc w Sieci doczekał się już piątej generacji i stosuje metody właściwe rootkitom. O ile w pierwszym wariancie manipulował jedynie przy podsystemie Windows Volume Management Layer, o tyle w najnowszym wydaniu zakrada się do Windows IDE/ATAPI Port Driver Layer, aby się ukryć. Feng nie podawał dokładniejszych informacji –. jego najnowszej prezentacji nie można niestety pobrać z Sieci. Już podczas Virus Bulletin 2008 Feng ostrzegał, że Dogrobot jest w stanie obejść mechanizmy Hard Disk Recovery Card.

Dogrobot dostaje się na komputer między innymi za pośrednictwem luk w przeglądarce. Dodatkowo usiłuje on przy pomocy metod ARP Cache Poisoning przekierowywać inne komputery w sieci LAN na spreparowane strony i w ten sposób również je infekować. Poza tym infekuje również przenośne pamięci USB.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie

TUKAN. Innowacyjny polski pojazd z do wykrywania min morskich
TUKAN. Innowacyjny polski pojazd z do wykrywania min morskich
Pas asteroidów powoli zanika. Nowe badania ujawniają tempo zmian
Pas asteroidów powoli zanika. Nowe badania ujawniają tempo zmian
Chiny testują tajemniczą rakietę. Ma nietypową trajektorię
Chiny testują tajemniczą rakietę. Ma nietypową trajektorię
Służy Polsce od 6 lat. Jest do naprawy
Służy Polsce od 6 lat. Jest do naprawy
Nowe złoże gazowe Andvare. ORLEN rozpoczął wydobycie gazu
Nowe złoże gazowe Andvare. ORLEN rozpoczął wydobycie gazu
Co oznacza litera "H" w imieniu Jezusa? Nie każdy o tym wie
Co oznacza litera "H" w imieniu Jezusa? Nie każdy o tym wie
Polska wstrzymuje zakup rakiet. Zabrakło na nie pieniędzy?
Polska wstrzymuje zakup rakiet. Zabrakło na nie pieniędzy?
Bolesna strata. Drogocenny "rosyjski Apache" kontra tani dron "Madziara"
Bolesna strata. Drogocenny "rosyjski Apache" kontra tani dron "Madziara"
60-letnia zagadka może mieć rozwiązanie. Wszystko przez czarne dziury
60-letnia zagadka może mieć rozwiązanie. Wszystko przez czarne dziury
Zbłąkana planeta. Zorze podgrzewają jej atmosferę
Zbłąkana planeta. Zorze podgrzewają jej atmosferę
Wiedziałeś, że dinozaury wciąż istnieją? Nawet robimy z nich rosół
Wiedziałeś, że dinozaury wciąż istnieją? Nawet robimy z nich rosół
Rozważają przekazanie Tomahawków Ukrainie. Jest reakcja Kremla
Rozważają przekazanie Tomahawków Ukrainie. Jest reakcja Kremla