Trojan, który ukrywa się w narzędziu do przywracania systemu Windows

Trojan, który ukrywa się w narzędziu do przywracania systemu Windows

Trojan, który ukrywa się w narzędziu do przywracania systemu Windows
24.09.2009 15:52, aktualizacja: 24.09.2009 17:02

Dzięki wykradzeniu danych logowania do gier online w chińskich kafejkach internetowych oraz dokonanej w konsekwencji tego czynu odsprzedaży danych kryminaliści spowodowali szkody o wartości około 1,2 miliarda dolarów. Takie informacje przedstawił w Genewie pracujący dla Microsoftu specjalista od wirusów Chun Feng podczas odbywającej się właśnie konferencji Virus Bulletin poświęconej walce ze szkodliwym oprogramowaniem. Przestępcy zastosowali trojana o nazwie Dogrobot, który ukrywa się w systemie i jest w stanie przeżyć nawet proces przywracania systemu.

Zagrożenie

Jak twierdzi Feng, wirus tworzy sobie tylne drzwi w narzędziu przywracania systemu Windows. Najprawdopodobniej korzysta przy tym z luki znajdującej się w kartach Hard Disk Recovery Cards, wbudowanych w wiele komputerów w chińskich kafejkach. Karty mają zapobiegać przed zapisywaniem danych na dyskach i w ten sposób utrudniać infekcje wirusami albo też ułatwiać przywracanie systemu do poprzedniego stanu. Dyski twarde wyposażone w taki mechanizm sprzedaje między innymi firma Excelstor [Gstor-Plus). W Polsce takie systemy jak na razie nie zyskały sobie popularności.

Obraz
© (fot. Jupiterimages)

Dogrobot to "szkodnik", który krążąc w Sieci doczekał się już piątej generacji i stosuje metody właściwe rootkitom. O ile w pierwszym wariancie manipulował jedynie przy podsystemie Windows Volume Management Layer, o tyle w najnowszym wydaniu zakrada się do Windows IDE/ATAPI Port Driver Layer, aby się ukryć. Feng nie podawał dokładniejszych informacji –. jego najnowszej prezentacji nie można niestety pobrać z Sieci. Już podczas Virus Bulletin 2008 Feng ostrzegał, że Dogrobot jest w stanie obejść mechanizmy Hard Disk Recovery Card.

Dogrobot dostaje się na komputer między innymi za pośrednictwem luk w przeglądarce. Dodatkowo usiłuje on przy pomocy metod ARP Cache Poisoning przekierowywać inne komputery w sieci LAN na spreparowane strony i w ten sposób również je infekować. Poza tym infekuje również przenośne pamięci USB.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (1)