Rootkit.Win32.Fisp.a infekuje sektor startowy dysku twardego i instaluje swój kod pod postacią zaszyfrowanego sterownika. Szkodliwy program przejmuje kontrolę natychmiast po włączeniu komputera - jeszcze przed załadowaniem się systemu operacyjnego. W trakcie uruchamiania systemu bootkit przechwytuje jedną z jego funkcji, co pozwala mu podmienić sterownik fips.sys swoim własnym kodem. Sterownik ten nie jest wymagany do poprawnej pracy systemu operacyjnego, dlatego użytkownik nie zauważy żadnych objawów infekcji komputera.
Przy użyciu mechanizmu wbudowanego w system Windows bootkit przechwytuje wszystkie uruchamiane procesy i szuka w nich następujących tekstów charakterystycznych dla programów antywirusowych:
- Beike
- Beijing Rising Information Technology
- AVG Technologies
- Trend Micro
- BITDEFENDER LLC
- Symantec Corporation
- Kaspersky Lab
- ESET, spol
- Beijing Jiangmin
- Kingsoft Software
- 360.cn
- Keniu Network Technology (Beijing) Co
- Qizhi Software (beijing) Co
Po wykryciu jednego z tych tekstów szkodnik modyfikuje uruchamiany proces, w wyniku czego niektóre aplikacje antywirusowe mogą funkcjonować niepoprawnie.
Po zakończeniu instalacji bootkit wysyła do cyberprzestępcy przez Internet szereg danych dotyczących zainfekowanego komputera, w tym numer wersji systemu operacyjnego, adres IP oraz adres MAC. Dodatkową funkcją szkodnika jest instalowanie w systemie narzędzia, które pobiera kolejne niebezpieczne programy (Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas). Trojany te kradną, między innymi, dane dotyczące kont wykorzystywanych w grach online.
Źródło: Kaspersky Lab
