IT технології та телекомунікації Автор: Ната Друкувати

Інтернетом шириться новий троянський вірус

  • Джерело: tsn.ua.  → Ключові теги: ІТ-технології, Trojan

    Мережею "гуляє" нова троянська програма, яка здатна відновлюватися.

    imarrrr8556zhyuogshges.jpegФахівці називають програму Trojan.GBPBoot.1. досить примітивною тому, що вона здатна тільки завантажувати з віддалених серверів і запускати на інфікованому комп'ютері різні виконувані файли або запускати програми, що не зберігаються безпосередньо на комп'ютері жертви.

    Однак зловредне ПЗ може серйозно протидіяти спробам його видалення.

    Як повідомляється, Trojan.GBPBoot.1 складається з декількох модулів.

    Перший з них модифікує головний завантажувальний запис (MBR) на жорсткому диску комп'ютера, після чого записує в кінець відповідного розділу (поза межами файлової системи) модуль вірусного інсталятора, модуль автоматичного відновлення троянця, архів з файлом explorer.exe і сектор з конфігураційними даними. Після чого поміщає в системну папку вірусний інсталятор, запускає його, а власний файл видаляє.

    Після запуску власного вірусний інсталятор зберігає в системну папку конфігураційний файл і динамічну бібліотеку, яку реєструє в системі в якості системної служби. Потім інсталятор запускає цю службу і самовидаляється.

    У свою чергу, системна служба завантажує конфігураційний файл, що зберігається в системній папці (або читає конфігураційні дані, раніше збережені на диск), встановлює зв'язок з віддаленим керуючим сервером, передає йому відомості про інфіковану систему і намагається завантажити на заражений комп'ютер передані сервером виконувані файли. Якщо завантажити ці файли не вдалося, повторне з'єднання встановлюється після наступного перезавантаження системи.

    В тому випадку, якщо з яких-небудь причин відбувається видалення файлу шкідливої служби (наприклад, в результаті сканування диска антивірусною програмою), спрацьовує механізм самовідновлення. З використанням модифікованого троянцем завантажувального запису в момент запуску комп'ютера стартує процедура перевірки наявності на диску файлу шкідливої системної служби, при цьому підтримуються файлові системи стандартів NTFS, FAT32.

    У разі його відсутності Trojan.GBPBoot.1 перезаписує стандартний файл explorer.exe власним, з "інструментом самовідновлення", після чого він запускається одночасно із завантаженням ОС Windows. Отримавши управління, зловмисна версія explorer.exe повторно ініціює процедуру зараження, після чого відновлює і запускає оригінальний explorer.exe.



    ЧИТАЙТЕ ТАКОЖ:

Рекомендуємо

Валютний майнінг: шлях до щоденного доходу від $500 до $1000 Валютний майнінг: шлях до щоденного доходу від $500 до $1000
Ласкаво просимо в захоплюючий світ пасивного доходу! Якщо ви шукали спосіб легко заробити гроші, насолоджуючись вільним часом, не шукайте далі. Сьогод...
Натяжные потолки: идеальное решение для вашего дома Натяжные потолки: идеальное решение для вашего дома
Натяжные потолки — это современное и практичное решение для обновления интерьера вашего дома. Они представляют собой полотно, натянутое на металлическ...
Венчур білдер CLUST виводить бренд вітамінів Perla Helsa на ринок Польщі Венчур білдер CLUST виводить бренд вітамінів Perla Helsa на ринок Польщі
Венчур білдер CLUST оголосив про співпрацю з відомим українським брендом вітамінів і дієтичних добавок Perla Helsa та вихід на ринок Польщі. Тестувати...
Підписатись не коментуючи
E-mail:

Додати коментар

 
Ім'я:
Пароль: (якщо зареєстрований)
Email: (обов'язково!)
captcha

теги форматування

додати смайли
 
Підписатись на коментарі по e-mail  

День в фотографіях Всі фотографії

Актуальні теми Всі актуальні теми