W ostatnim czasie modyfikowanie powierzchni dysku twardego w jego obszarze rozruchowym zwanym MBR staje się nad wyraz popularne dla twórców wirusów.

Jednak teraz doszło do bardzo ciekawej sytuacji. Obok MBR wprowadzają oni zanieczyszczenia do samej partycji NTFS. Stało się to za sprawą niedawno odkrytego malware ukrywającego się pod nazwą Cidox.

Główny trojan o nazwie Trojan-Dropper.Win32.Cidox niesie w sobie dwa rootkity Rootkit.Win32/Win64.Cidox. Jeden został skompilowany dla platformy 32, a drugi 64 bitowej.

Cidox wchodząc do systemu zaczyna od zmodyfikowania sektora rozruchowego dysku twardego. Do zakażenia wybiera partycję oznaczoną jako startową. Zapisuje swój kod w polu rozszerzonym NTFS IPL (Initial Program Loaader), który odpowiedzialny jest za analizowanie tabeli MFT (Master File Table), a następnie wyszukuje główne pliki do ładowania, jak ntldr czy bootmgr infekując je. Oryginalną zawartość NTFS IPL przechowuje w formie zaszyfrowanej i dołącza do złośliwego kodu.

Od następnego uruchomienia komputer jest już zakażony. Wykorzystuje on następnie przerwanie INT 13H i przechwytuje niektóre funkcje jądra systemu Windows. Kontroluje on czy też jakie procesy są uruchamianie. Oprócz pliku svchost.exe interesują go głównie przeglądarki: iexplore.exe, firefox.exe, Opera.exe, chrome.exe

Jeśli okaże się, że trafia on na właściwe pliki, do dzieła rusza kolejna część Cidoxa, biblioteka DLL Trojan.Win32.Cidox. Modyfikuje ona te pliki zastępując swoim kodem. W rezultacie użytkownik widzi w oknie przeglądarki nie stronę, a informację, że trzeba uaktualnić przeglądarkę ze względu na wykrycie złośliwego oprogramowania np trojanem Trojan.Win32.Ddox.ci.

Wszystko dąży do tego, aby na koniec wyłudzić od ofiary pieniądze. Przestępcy proszą o wysłanie płatnego SMSa na jeden z "krótkich" lecz "drogich" numerów.

Źródło: anti-malware.ru
Foto: Archiwum