Новости Software

Новый троянец может самовосстанавливаться после удаления

Зафиксировано распространение новой троянской программы Trojan.GBPBoot.1, обладающей интересным механизмом самовосстановления.

С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы. Однако интересен этот троянец прежде всего тем, что имеет возможность серьезно противодействовать попыткам его удаления.

Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.



После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.

В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления»;, после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

Материалы по теме:

Источник:

window-new
Soft
Hard
Тренды 🔥
Культовая ролевая игра Star Wars: Knights of the Old Republic II получит новую жизнь на Switch с вырезанным контентом 33 мин.
Приключенческий экшен Star Wars Jedi: Survivor продолжит историю Fallen Order — тизер-трейлер и первые подробности 2 ч.
Новая статья: V Rising — из гроба в князи. Предварительный обзор 12 ч.
Hello Games рассказала о прогрессе разработки Switch-версии No Man’s Sky 14 ч.
Серверы игр трилогии Dark Souls на ПК будут возвращать к жизни по очереди 14 ч.
Суд признал законность штрафа ФАС по делу Apple на $12 млн 16 ч.
Россия останется без условно-бесплатной Diablo Immortal из-за введённых ограничений 16 ч.
Минфин доработал законопроект о криптовалютах — они могут оказаться полезны во внешней торговле 16 ч.
Файтинг JoJo’s Bizarre Adventure: All Star Battle в сентябре получит расширенное переиздание 16 ч.
Видео: участники фракции «Лестерский альянс» в новом геймплейном трейлере Fire Emblem Warriors: Three Hopes 17 ч.
Тираж смартфонов Apple серии iPhone 14 уступит объёмам выпуска предшественников в прошлом году 6 ч.
Samsung резко урезала план производства смартфонов на 2022 год — вместо 310 млн выпустят только 280 млн 13 ч.
Патентный тролль подал на Meta в суд из-за VR-гарнитуры Meta Quest 2 13 ч.
Ampere Computing уже поставляет серверные Arm-процессоры AmpereOne избранным клиентам 16 ч.
Microsoft продолжает работу над телеприставкой для доступа к облачному сервису Xbox Cloud Gaming 18 ч.
MSI выпустила эксклюзивную версию GeForce RTX 3080 10GB Suprim X Assassin’s Creed Valhalla Edition 18 ч.
Запас карман не тянет: облачный оператор ServiceNow закупился серверами и комплектующими на год вперёд 18 ч.
На Computex 2022 показали относительно компактную GaN-зарядку мощностью 340 Вт 18 ч.
AMD заявила, что Ryzen 7000 получат поддержку инструкций AVX-512 и пообещала в будущем новые чипы с 3D V-Cache 19 ч.
Топ-менеджер Acer предупредил о значительном дефиците проекторов, который только усилится 20 ч.