Вверх
Мобильная версия

Появился троянец, который практически нельзя удалить

Появился троянец, который практически нельзя удалить
В сети получила распространение новая троянская программа Trojan.GBPBoot.1
09:49 Пн, 29 Октябрь 2012 Телеграф
Фото: ©Depositphotos/

Зловредное ПО обладает интересным механизмом самовосстановления...

С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы. Этим ее деструктивный функционал исчерпывается. Однако интересен этот троянец, прежде всего, тем, что имеет возможность серьезно противодействовать попыткам его удаления.

Trojan.GBPBoot.1 состоит из нескольких модулей. 1-й из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.

После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.

В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.

В случае,если по каким-либо причинам происходит удаление файла вредоносной службы (например в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32.

В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим "инструмент самовосстановления", после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

Новости в одном приложении: "Телеграф (Android, iOS)" - читать удобнее!
загрузка...
Добавить комментарий

*

Перед написанием комментария ознакомьтесь с правилами.
1 Комментарий
  • Роман 29.10.2012 14:10

    ну млин....лажа яка......знімаєш хард......ставиш його на нормальний комп.....скануєш антивірусом.....і все ок......Каспер наприклад чітко сканує MBR і видаляє з неї усіляку гидоту.

    Нравится 2165 Не нравится 0
Показать комментарии
Новости: Названы природные красители для волос
Названы природные красители для волос
Новости: Матч-реванш Ломаченко - Салидо может состояться весной 2017 года
Матч-реванш Ломаченко - Салидо может состояться весной 2017 года
Новости: Qualcomm представила один из самых мощных процессоров в мире
Qualcomm представила один из самых мощных процессоров в мире
Новости: Президент подписал закон о закупках для конкурса "Евровидение"
Президент подписал закон о закупках для конкурса "Евровидение"