Dieser Schädling benutzt wie TDSS4 ein Bootkit und versteckt sich im MBR der Festplatte. Es wird eine Neuinstallation vom System empfohlen aber in der Wiederherstellungkonsole kann bootrec.exe /fixmbr aufgerufen werden und dann eine Systemwiederherstellung
Es macht die üblichen Sachen wie Kontakt zum Author aufnehmen (dh818.info,Port 83) private Dateien herunterladen, Befehle aus der Ferne empfangen und ausführen. Download von noch anderer malware ist möglich
Erkennbar ist der Schädling an <current folder>\hello_tt.sys c:\documents and settings\all users\documents\my videos\pulgfile.log
Weitere Details gibts im Microsoft Malware Protection Center
Die Malware heftet sich an "DriverStartIO" per Hook indem es den Einstiegspunkt per IoGetDeviceAttachmentBaseRef ermittelt. Dieser Festplatten Gerätezugriff wird z.B. von der atapi.sys verwendet. Es wandelt alle Schreibzugriffe auf den Bootsektor in Lesende Zugriffe um, weshalb Antivirenprogramme zwar einen Erfolg melden, dies aber nicht der Wahrheit entspricht.
Keine Kommentare:
Kommentar veröffentlichen