Блог 360 Total Security

BootKit, один из самых раздражающих троянов, готов к следующей глобальной атаке

BootKit — распространенный троян, который заразил большое количество ПК . В последнее время 360 Security Center обнаружил, что BootKit активно распространяется снова. На этот раз троян распространяется в серверных системах. Наши пользователи заявили, что хотя они пробовали различные методы чтобы восстановить свои компьютеры из-за ненормального статуса, было еще слишком поздно. Мы провели подробный анализ, и 360 Total Security первым захватил и уничтожил этот троян BootKit.

Через подробный анализ мы обнаружили, что этот вид трояна распространяется путем вторжения на сервер пользователей через слабые пароли MySQL или MSSQL. Более того, этот троян, скорее всего, в будущем будет преобразован в программу-вымогатель. Чтобы избежать атак, если ваш пароль недостаточно силен, пожалуйста, немедленно измените пароль.

Анализ

C: \ Windows \ Temp \ v.exe

Внести сервер, чтобы выпустить файл на
C: \ Windows \ Temp \ v.exe

Информация о троянском файле:

Написать функцию:


Получить серийный номер диска, соответствующий активному разделу:

Определить раздел MBR:

Проверить его статус записи:

Написать функцию после резервного копирования:

После загрузки поведение BootKit показано ниже:

Системная информация после загрузки:

Включить цикл потока, чтобы обнаружить следующий процесс, а затем немедленно завершить процесс:

Внедрить код в процесс Winlogon.exe, вставив APC, и загрузить вредоносный код в Интернете

Сводка

Если ваш компьютер запускается медленно или ваш сервер работает неправильно, используйте 360 Total Security для обнаружения трояна. Кроме того, не запускайте ненужное обслуживание, это даст хакерам больше шансов атаковать ваш сервер. Для получения необходимой услуги, если есть слабый пароль, мы настоятельно рекомендуем немедленно его изменить.