Свежий вирус может восстановить себя после снятия

d82faf84

вирус Организация «Доктор Веб» рассказала о распространении новой троянской платформы Trojan.GBPBoot.1, владеющей любопытным механизмом самовосстановления.

Trojan.GBPBoot.1

С позиции реализуемых данным троянцем вредных функций, Trojan.GBPBoot.1 является достаточно простой вредной платформой: она может грузить с выключенных компьютеров и запускать на инфицированном ПК разные выполняемые документы или запускать платформы, не находящиеся прямо на ПК жертвы. Этим ее деструктивная работоспособность истощается. Но увлекателен данный троянец в первую очередь тем, что может основательно мешать попыткам его снятия.

Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них видоизменяет основную нагрузочную запись (MBR) на твердом диске ПК, затем вписывает в конец нужного раздела (за пределами файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с документом эксплорер.exe и раздел с конфигурационными данными. Затем располагает в системную папку вирусный инсталлятор, пускает его, а свой документ устраняет.

После своего старта вирусный инсталлятор сохраняет в системную папку конфигурационный документ и спортивную библиотеку, которую расписывает в системе в роли системной службы. Потом инсталлятор пускает данную службу и самоудаляется.

К тому же, системная работа грузит находящийся в системной папке конфигурационный документ (или разбирает конфигурационные данные, раньше сохраненные на диск дроппером), ставит зависимость с удаленным правящим компьютером, сообщает ему данные об инфицированной системе и старается скачать на инфицированный персональный компьютер передаваемые компьютером выполняемые документы. Если скачать эти документы не удалось, вторичное объединение ставится после следующей перезагрузки системы.

Если по каким-нибудь основаниям происходит удаление документа вредной службы (к примеру, в итоге распознавания диска противовирусной платформой), действует механизм самовосстановления. С применением измененной троянцем нагрузочной записи в момент старта ПК начнется операция проверки нахождения на диске документа вредной системной службы, при этом удерживаются файловые системы стереотипов NTFS и FAT32. В случае его неимения Trojan.GBPBoot.1 перезаписывает обычный документ эксплорер.exe своим, сохраняющим «инструмент самовосстановления», затем он пускается синхронно с загрузкой ОС Виндоус. Получив регулирование, вредный образец эксплорер.exe вторично активизирует процедуру инфицирования, затем возобновляет и пускает уникальный эксплорер.exe. Так что, элементарное исследование системы разными противовирусными платформами может не привести к предстоящему итогу, так как троянец способен реконструировать себя в обороняемой системе.

Ресурс: Врач Web

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *