|
Хакери винайшли новий троян
Автор/джерело - © ТСН
|
Дата публiкацiї - 27.10.2012 18:03 | Постiйна адреса - http://www.aratta-ukraine.com/news_ua.php?id=18778
Мережею “гуляє” нова троянська програма, яка здатна відновлюватися.
Фахівці називають програму Trojan.GBPBoot.1. досить примітивною тому, що вона здатна тільки завантажувати з віддалених серверів і запускати на інфікованому комп’ютері різні виконувані файли або запускати програми, що не зберігаються безпосередньо на комп’ютері жертви.
Однак зловредне ПЗ може серйозно протидіяти спробам його видалення.
Як повідомляється, Trojan.GBPBoot.1 складається з декількох модулів.
Перший з них модифікує головний завантажувальний запис (MBR) на жорсткому диску комп’ютера, після чого записує в кінець відповідного розділу (поза межами файлової системи) модуль вірусного інсталятора, модуль автоматичного відновлення троянця, архів з файлом explorer.exe і сектор з конфігураційними даними. Після чого поміщає в системну папку вірусний інсталятор, запускає його, а власний файл видаляє.
Після запуску власного вірусний інсталятор зберігає в системну папку конфігураційний файл і динамічну бібліотеку, яку реєструє в системі в якості системної служби. Потім інсталятор запускає цю службу і самовидаляється.
У свою чергу, системна служба завантажує конфігураційний файл, що зберігається в системній папці (або читає конфігураційні дані, раніше збережені на диск), встановлює зв’язок з віддаленим керуючим сервером, передає йому відомості про інфіковану систему і намагається завантажити на заражений комп’ютер передані сервером виконувані файли. Якщо завантажити ці файли не вдалося, повторне з’єднання встановлюється після наступного перезавантаження системи.
В тому випадку, якщо з яких-небудь причин відбувається видалення файлу шкідливої служби (наприклад, в результаті сканування диска антивірусною програмою), спрацьовує механізм самовідновлення. З використанням модифікованого троянцем завантажувального запису в момент запуску комп’ютера стартує процедура перевірки наявності на диску файлу шкідливої системної служби, при цьому підтримуються файлові системи стандартів NTFS, FAT32.
У разі його відсутності Trojan.GBPBoot.1 перезаписує стандартний файл explorer.exe власним, з "інструментом самовідновлення", після чого він запускається одночасно із завантаженням ОС Windows. Отримавши управління, зловмисна версія explorer.exe повторно ініціює процедуру зараження, після чого відновлює і запускає оригінальний explorer.exe.
|
|
|
|
© АРАТТА. Український національний портал. 2006-2024.
При передруці інформації, посилання на www.aratta-ukraine.com обов`язкове.
© Автор проекту - Валерій Колосюк.
|