Исследователи обнаружили вредоносную программу, которая устанавливает сразу несколько модулей на компьютеры своих жертв, “замораживая” деятельность жёсткого диска.
Эксперты из компании Bkav обнаружили и проанализировали так называемый руткит, который скрывает следы присутствия злоумышленника или вредоносной программы в системе.
“Заморозка” жёсткого диска является специфическим механизмом защиты руткита. Вирус запускает несколько модулей, которые исполняют основные функции вредоносного ПО, и способствуют его распространению.
Один из них, PassThru, – это драйвер сетевого модуля, блокирующий или перенаправляющий пользователя на определенные сайты. А модуль Wininite подключается к C&C-серверам и получает от них команды. Один из этих серверов расположен в Китае, а другой – в США.
Вирус, фактически, замораживает HDD
Наконец, модуль DiskFit каждый раз после перезагрузки компьютера восстанавливает жёсткий диск компьютера до статуса, который был до инфицирования машины.
Кроме того, DiskFit создаёт на компьютере жертвы область для хранения кэшированных данных, в которой хранится информация обо всех операциях, осуществляемых пользователем.
Таким образом, пользователь не может вносить изменения в данные на оригинальном диске.
Каждый раз, когда пользователь проводит перезагрузку компьютера, все его действия на системе удаляются, начиная с создания или загрузки новых документов, и заканчивая установкой программного обеспечения.