Вьетнамская антивирусная компания Bkav обнаружила зловред с очень необычным механизмом самозащиты. Чтобы защититься от удаления, этот руткит как бы «замораживает» жесткий диск в карантине. С момента заражения любое изменение, которые пользователь вносит в файловую систему, будет потеряно после перезагрузки. То есть каждый новый файл исчезнет, изменившийся файл вернется в исходное состояние, а удаленный файл восстановится.
Предварительно вирус создаёт несколько исполняемых модулей для выполнения своих функций и защиты диска.
Wininite.exe получает команды от двух управляющих серверов nb.gg.xiaozi.com и cc.176bazhe.com:555, один в Китае, в торой в США.
DiskFit.sys — драйвер, который и осуществляет откат HDD к предыдущему состоянию.
PassThru.sys — сетевой драйвер для блокировки доступа к веб-сайтам и редиректа.
Black.dll — модуль для распространения вируса.
«Заморозка» HDD осуществляется путем установки нового виртуального устройства, которое контролирует запись и считывание с диска. DiskFit.sys также создает кэширующую область на диске, в которой происходят все операции. Если пользователь пытается изменить файл, его запрос на доступ к файлу блокируется, менеджер DiskFit.sys копирует файл в кэширующую область и перенаправляет запрос пользователя туда.
Для удаления заразы Bkav рекомендует скачать утилиту BkavRootFreezeRemover.
