Новости Software

Новый троянец может самовосстанавливаться после удаления

Зафиксировано распространение новой троянской программы Trojan.GBPBoot.1, обладающей интересным механизмом самовосстановления.

С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы. Однако интересен этот троянец прежде всего тем, что имеет возможность серьезно противодействовать попыткам его удаления.

Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.



После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.

В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления»;, после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥
Видео: свежие кадры ПК-версии Forspoken и рассказ про FidelityFX Super Resolution от Luminous Productions 8 мин.
Microsoft вернётся к стандартной политике возврата средств за покупку цифровой версии Cyberpunk 2077 в начале июля 21 мин.
Из-за бага в новом патче PS5-версия Marvel’s Avengers начала выводить на экран личные данные игроков 48 мин.
Штаты США готовятся подать антимонопольные иски против Google и её магазина приложений 2 ч.
Microsoft добавила фоторедактор в облачное хранилище OneDrive 2 ч.
Обновление 3.00 для Valorant принесло с собой масштабные изменения экономики, агентов, оружия и рейтинговой игры 3 ч.
В кооперативный экшен Zombie Army 4: Dead War добавили персонажей из первой Left 4 Dead 3 ч.
Экзотический платформер Escape from Naraka выйдет в конце июля 3 ч.
Steam и GOG устроили раздачу ArmA: Cold War Assault в честь 20-летия игры 4 ч.
В Instagram появится визуальный поиск для удобных покупок прямо в приложении 4 ч.
ASUS представила системы жидкостного охлаждения TUF Gaming LC ARGB 22 мин.
LG представила игровой монитор UltraGear 27GP83B-B формата QHD с частотой обновления 165 Гц 31 мин.
Тайваньские производители электроники ограничили свободу рабочих-мигрантов из-за коронавируса 54 мин.
Российские учёные придумали, как связывать квантовые компьютеры разных типов в единую систему 2 ч.
Представлены обновлённые блоки питания Corsair RM в чёрном и белом цвете 2 ч.
Каждый пятый житель России боится лишиться работы из-за роботов 3 ч.
OPPO выпустит смартфон Reno6 Z с чипом Dimensity 800U и 32-Мп селфи-камерой 3 ч.
Samsung запатентовала слайдер со скручивающимся экраном и скрытой под ним селфи-камерой 3 ч.
Представлена плата Colorful C.3865U-BTC Plus V20 для добычи криптовалют – восемь слотов для видеокарт и встроенный процессор Celeron 3 ч.
Продажи хромбуков и планшетов в этом году вырастут, но в будущем начнут падать 4 ч.