Исследователи обнаружили вредоносную программу, которая устанавливает сразу несколько модулей на компьютеры своих жертв, “замораживая” деятельность жёсткого диска.
Эксперты из компании Bkav обнаружили и проанализировали так называемый руткит, который скрывает следы присутствия злоумышленника или вредоносной программы в системе.
“Заморозка” жёсткого диска является специфическим механизмом защиты руткита. Вирус запускает несколько модулей, которые исполняют основные функции вредоносного ПО, и способствуют его распространению.
Один из них, PassThru, – это драйвер сетевого модуля, блокирующий или перенаправляющий пользователя на определенные сайты. А модуль Wininite подключается к C&C-серверам и получает от них команды. Один из этих серверов расположен в Китае, а другой – в США.
Наконец, модуль DiskFit каждый раз после перезагрузки компьютера восстанавливает жёсткий диск компьютера до статуса, который был до инфицирования машины.
Кроме того, DiskFit создаёт на компьютере жертвы область для хранения кэшированных данных, в которой хранится информация обо всех операциях, осуществляемых пользователем.
Таким образом, пользователь не может вносить изменения в данные на оригинальном диске.
Каждый раз, когда пользователь проводит перезагрузку компьютера, все его действия на системе удаляются, начиная с создания или загрузки новых документов, и заканчивая установкой программного обеспечения.