Чем буткит отличается от руткита?

ОБНАРУЖЕН РУТКИТ, КОТОРЫЙ БЕРЕТ НА СЕБЯ УПРАВЛЕНИЕ ОПЕРАЦИОННОЙ СИСТЕМОЙ

8 Апреля 2011 | 11:58

"Лаборатория Касперского" обнаружила новую вредоносную программу, которая заражает загрузочные сектора жестких дисков и загружается до операционной системы.

Новый буткит, Rookit.Win32.Fisp.a, распространяется через поддельные китайские веб-сайты, содержащие откровенные материалы порнографического характера. Rootkit.Win32.Fisp.a заражает загрузочный сектор жесткого диска и устанавливается в виде зашифрованного драйвера. Вредоносная программа берет на себя управление сразу же после включения компьютера, еще до загрузки операционной системы. Во время запуска системы буткита захватывает одну из ее функций, что позволяет ему заменить драйвер fips.sys на собственный код. Нужно отметить, что драйвер fips.sys не является необходимым для операционной системы, так что для пользователя инфицирование компьютера пройдет незамеченным.

Используя механизм, встроенный в Windows, буткит перехватывает все происходящие в системе процессы и ищет в них следующие строки, характерные для популярных антивирусных программ:

* Beike
* Beijing Rising Information Technology
* AVG Technologies
* Trend Micro
* BITDEFENDER LLC
* Symantec Corporation
* Kaspersky Lab
* ESET, spol
* Beijing Jiangmin
* Kingsoft Software
* 360.cn
* Keniu Network Technology (Beijing) Co
* Qizhi Software (beijing) Co

Обнаружив такую строку, буткит изменяет соответствующий процесс, из-за чего некоторые антивирусные приложения могут работать неправильно.

После инсталляции буткит отправляет своим заказчикам через Интернет данные о зараженном компьютере, включая номер версии операционной системы, IP-адрес и MAC-адрес. Еще одна функция вредоносной программы — установка на компьютер жертвы инструмента, который скачивает из сети другие вредоносные программы (Trojan-Dropper.Win32.Vedio.dgs и Trojan-GameThief.Win32.OnLineGames.boas). Эти трояны воруют, в частности, данные о счетах, используемых в онлайн-играх.