W ostatnim czasie modyfikowanie powierzchni dysku twardego w jego obszarze rozruchowym zwanym MBR staje si� nad wyraz popularne dla tw�rc�w wirus�w.

Jednak teraz dosz�o do bardzo ciekawej sytuacji. Obok MBR wprowadzaj� oni zanieczyszczenia do samej partycji NTFS. Sta�o si� to za spraw� niedawno odkrytego malware ukrywaj�cego si� pod nazw� Cidox.

G��wny trojan o nazwie Trojan-Dropper.Win32.Cidox niesie w sobie dwa rootkity Rootkit.Win32/Win64.Cidox. Jeden zosta� skompilowany dla platformy 32, a drugi 64 bitowej.

Cidox wchodz�c do systemu zaczyna od zmodyfikowania sektora rozruchowego dysku twardego. Do zaka�enia wybiera partycj� oznaczon� jako startow�. Zapisuje sw�j kod w polu rozszerzonym NTFS IPL (Initial Program Loaader), kt�ry odpowiedzialny jest za analizowanie tabeli MFT (Master File Table), a nast�pnie wyszukuje g��wne pliki do �adowania, jak ntldr czy bootmgr infekuj�c je. Oryginaln� zawarto�� NTFS IPL przechowuje w formie zaszyfrowanej i do��cza do z�o�liwego kodu.

Od nast�pnego uruchomienia komputer jest ju� zaka�ony. Wykorzystuje on nast�pnie przerwanie INT 13H i przechwytuje niekt�re funkcje j�dra systemu Windows. Kontroluje on czy te� jakie procesy s� uruchamianie. Opr�cz pliku svchost.exe interesuj� go g��wnie przegl�darki: iexplore.exe, firefox.exe, Opera.exe, chrome.exe

Je�li oka�e si�, �e trafia on na w�a�ciwe pliki, do dzie�a rusza kolejna cz�� Cidoxa, biblioteka DLL Trojan.Win32.Cidox. Modyfikuje ona te pliki zast�puj�c swoim kodem. W rezultacie u�ytkownik widzi w oknie przegl�darki nie stron�, a informacj�, �e trzeba uaktualni� przegl�dark� ze wzgl�du na wykrycie z�o�liwego oprogramowania np trojanem Trojan.Win32.Ddox.ci.

Wszystko d��y do tego, aby na koniec wy�udzi� od ofiary pieni�dze. Przest�pcy prosz� o wys�anie p�atnego SMSa na jeden z "kr�tkich" lecz "drogich" numer�w.

�r�d�o: anti-malware.ru
Foto: Archiwum