Старый компьютерный троян вернулся под видом борьбы с коронавирусом

Старая троянская программа Rovnix bootkit стала рассылаться в апреле 2020 года под видом сообщения от Всемирного банка в связи с пандемией коронавируса, заявила пресс-служба Лаборатории Касперского 25 июня, сообщает портал IT Web.

Исполняемый самораспаковывающийся файл, якобы содержащий информацию о новой инициативе Всемирного банка, содержал в себе сильно доработанную версию старой троянской программы Rovnix.

Программа Rovnix позволяет злоумышленнику устанавливать зловредный код до загрузки операционной системы и далее добавлять желаемую функциональность в запускаемые приложения.

Новая версия Rovnix обладает возможностью обходить механизмы авторизации пользователя и повышать привилегии. Как показал анализ, распространяемый троян дает злоумышленнику возможность удаленного доступа к зараженному компьютеру, а также способен собирать разнообразную информацию.

Напомним, вредоносные программы типа bootkit загружаются перед операционной системой, после чего контролируют процесс загрузки так, чтобы сохранить свой полный контроль. Такие программы, как правило, хранятся вне файловой системы, а также хорошо маскируются. Это делает очень сложным их обнаружение с помощью антивирусного программного обеспечения.

Bootkit-модуль Rovnix был известен с 2011 года. После загрузки он инсталлировался в систему Windows как драйвер, чтобы получить возможность взаимодействия с пользовательскими программами.

Со временем его распространенность стала падать. Предполагается, что было связано с утечкой его исходных кодов в 2013 году, что сделало возможным создание эффективных средств противодействия.