Аратта - На головну

21 грудня 2024, субота

 

Актуально
Музей «Аратта»
Невідома Аратта
Українські фільми
Українські мультфільми
Хто ти?
  Аратта у Facebook Аратта в YouTube Версія для мобільних пристроїв RSS
Чи знаєте Ви, що:
- в містечку Заліщики (Тернопільська область), після нападу Німеччини на Польщу в 1939 році, деякий час перебував польський уряд. А вже після вступу у війну Радянського Союзу, цей уряд через Румунію евакуюється в Англію, й до 1945 року вважався легітимним урядом Польщі...
Курс валюти:
 урси валют в банках  иЇва
 урси валют в обм≥нниках  иЇва
 урси валют в рег≥онах ”крањни

Погода в Україні:

Наш банер

Наш банер


Хакери винайшли новий троян

Технології 8349 переглядів

Опубліковано - 27.10.2012 18:03 | Всі новини | Версія для друку

Хакери винайшли новий троян
Хакери винайшли новий троян
Мережею “гуляє” нова троянська програма, яка здатна відновлюватися.

Фахівці називають програму Trojan.GBPBoot.1. досить примітивною тому, що вона здатна тільки завантажувати з віддалених серверів і запускати на інфікованому комп’ютері різні виконувані файли або запускати програми, що не зберігаються безпосередньо на комп’ютері жертви.

Однак зловредне ПЗ може серйозно протидіяти спробам його видалення.

Як повідомляється, Trojan.GBPBoot.1 складається з декількох модулів.

Перший з них модифікує головний завантажувальний запис (MBR) на жорсткому диску комп’ютера, після чого записує в кінець відповідного розділу (поза межами файлової системи) модуль вірусного інсталятора, модуль автоматичного відновлення троянця, архів з файлом explorer.exe і сектор з конфігураційними даними. Після чого поміщає в системну папку вірусний інсталятор, запускає його, а власний файл видаляє.

Після запуску власного вірусний інсталятор зберігає в системну папку конфігураційний файл і динамічну бібліотеку, яку реєструє в системі в якості системної служби. Потім інсталятор запускає цю службу і самовидаляється.

У свою чергу, системна служба завантажує конфігураційний файл, що зберігається в системній папці (або читає конфігураційні дані, раніше збережені на диск), встановлює зв’язок з віддаленим керуючим сервером, передає йому відомості про інфіковану систему і намагається завантажити на заражений комп’ютер передані сервером виконувані файли. Якщо завантажити ці файли не вдалося, повторне з’єднання встановлюється після наступного перезавантаження системи.

В тому випадку, якщо з яких-небудь причин відбувається видалення файлу шкідливої служби (наприклад, в результаті сканування диска антивірусною програмою), спрацьовує механізм самовідновлення. З використанням модифікованого троянцем завантажувального запису в момент запуску комп’ютера стартує процедура перевірки наявності на диску файлу шкідливої системної служби, при цьому підтримуються файлові системи стандартів NTFS, FAT32.

У разі його відсутності Trojan.GBPBoot.1 перезаписує стандартний файл explorer.exe власним, з "інструментом самовідновлення", після чого він запускається одночасно із завантаженням ОС Windows. Отримавши управління, зловмисна версія explorer.exe повторно ініціює процедуру зараження, після чого відновлює і запускає оригінальний explorer.exe.
Share/Bookmark
 
Більше новин за темою «Технології»:
Більше тем:

Останні новини:

Популярні статті:
 
 

Ніколи нічого не замишляйте проти Росії, тому що на кожну вашу хитрість вона відповість своєю непередбачуваною дурістю ”
Отто фон Бісмарк

 
Подорожуйте Україною комфортно і без обмежень!
 

 

 

 

© АРАТТА. Український національний портал. 2006-2024.
При передруці інформації, посилання на aratta-ukraine.com обов`язкове.