Читай.net     
♦ Высокие технологии

Безсмертний вірус

Безсмертний вірус

Троян може відновити себе навіть в захищеній програмою системі антивіруса. Зараз в мережі з'явився новий троян, який має дивовижну здатність до самовідновлення. Фахівці вже назвали цю програму Trojan.GBPBoot.1. дуже примітивною через те, що вона може тільки завантажувати різні виконувані файли або ж запускати програми з віддалених серверів. Можливий запуск файлів, які не зберігаються безпосередньо на зараженому комп'ютері. Тим не менш, шкідливе ПЗ здатне серйозно протидіяти атакам антивірусних програм. Повідомляється, що Trojan.GBPBoot.1 має у своєму складі відразу кілька модулів. 1-й є модифікатором головного завантажувального запису (MBR) на гвинті комп'ютера, після втручання він записує в кінець будь-якого відповідного розділу, який знаходиться поза файлової системи особливий модуль вірусного інсталятора, а також модуль автоматичного відновлення і архів з файлом explorer.exe, а також сектор конфігураційних даних. Потім поміщає в системну папку інсталятор вірусу і запускає його. Після цього власний файл видаляється. Коли запуск завершений, інсталятор зберігає конфігурацію в системній папці, а також динамічну бібліотеку, вона реєструється в системі як системна служба. Після інсталятор активує службу і знову видаляє себе. Системна ж служба активує завантаження зберігається в папці конфігураційного файлу або читає конфігураційні дані, які були раніше збережені на диск, потім связявается з віддаленим сервером і передає йому відомості стосуються інфікованої системи, також намагається завантажити на комп'ютер передаються виконувані файли. У разі, якщо скачати файли не вдається, повторне з'єднання буде встановлено після перезавантаження операційки. Якщо з будь-яких причин здійснюється видалення файлу служби-трояна, наприклад, через сканування гвинта антивірусною програмою, запускається механізм самовідновлення. Використання модифікованої завантажувального запису при запуску комп'ютера запускає процедуру перевірки присутності на гвинті файлу системної служби трояна, але при цьому файлові системи NTFS і FAT32 повністю підтримуються. У випадку відсутності такого, шкідливий Trojan.GBPBoot.1 перезаписує вихідний файл explorer.exe зміненим, з "інструментом самовідновлення", потім запускається із завантаженням Windows. При отриманні керування, заражений explorer.exe ініціює зараженню ще раз, після відновлює і запускає оригінальний explorer.exe.

Опубликовано: 28.10.2012 01:53

Бессмертный вирус



Ваше имя/Ник:

Комментарий:



Перегрузить

Комментарии Комментарии:
bitstarz australia