Вьетнамская антивирусная компания Bkav обнаружила зловред с очень необычным механизмом самозащиты. Чтобы защититься от удаления, этот руткит как бы «замораживает» жесткий диск в карантине. С момента заражения любое изменение, которые пользователь вносит в файловую систему, будет потеряно после перезагрузки. То есть каждый новый файл исчезнет, изменившийся файл вернется в исходное состояние, а удаленный файл восстановится. Предварительно вирус создаёт несколько исполняемых модулей для выполнения своих функций и защиты диска. Wininite.exe получает команды от двух управляющих серверов nb.gg.xiaozi.com и cc.176bazhe.com:555, один в Китае, в торой в США. DiskFit.sys — драйвер, который и осуществляет откат HDD к предыдущему состоянию. PassThru.sys — сетевой драйвер для блокировки доступа к веб-сайтам и редиректа. Black.dll — модуль для распространения вируса. «Заморозка» HDD осуществляется путем установки нового виртуального устройства, которое контролирует запись и считывание с диска. DiskFit.sys также создает кэширующую область на диске, в которой происходят все операции. Если пользователь пытается изменить файл, его запрос на доступ к файлу блокируется, менеджер DiskFit.sys копирует файл в кэширующую область и перенаправляет запрос пользователя туда. Для удаления заразы Bkav рекомендует скачать утилиту BkavRootFreezeRemover . http://www.xakep.ru/post/61281/ 19.09
Прямо очень интересный механизм)А почему бы ему не кешировать только себя,ну,чтобы все изменения,связанные с руткитом,после перезагрузки терялись????
Много палева для коня. Проще выйти в 0 кольцо и патчить ядро с загрузчиком в бут секторе. Писалось наверное для теста или под определенные задачи.
