want to advertise here $100 / views

Jun 12, 2013

Bootkit Guntior Pelanggaran Pusat Bantuan Windows Cina

komputer

Para bootkit Cina dijuluki Guntior telah ada setidaknya sejak 2010. Sophos ahli telah menganalisis versi terbaru dari pipet ancaman dan menemukan beberapa hal menarik.



Menurut Sophos 'Ahmed Zaki, pipet memiliki dua cabang eksekusi: a dynamic link library (DLL) dan dieksekusi.

Hal yang menarik tentang itu adalah bahwa cabang DLL eksekusi dijalankan dengan bantuan HelpCrt.exe, yang sebenarnya Windows executable yang sah untuk Pusat Bantuan Windows.

File HelpCrt.exe digunakan untuk menjalankan cabang DLL eksekusi sebelum berlanjut dengan "exe." Cabang.

Hal lain yang menarik tentang varian Guntior adalah bahwa alih-alih pembajakan I / O path dengan menempatkan kait pada driver miniport, seperti bootkits lain lakukan, itu kait driver kelas disk yang IRP_MJ_WRITE dan IRP_MJ_READ.

Rincian teknis tentang cara kerja penetes Guntior tersedia di blog Sophos '.

Artikel Terkait

0komentar:

Post a Comment