Читай.net     
♦ Высокие технологии

Бессмертный вирус

Бессмертный вирус

Троян может восстановить себя даже в защищенной программой системе антивируса. Сейчас в сети появился новый троян, который имеет удивительную способность к самовосстановлению. Специалисты уже назвали эту программу Trojan.GBPBoot.1. весьма примитивной из-за того, что она может только загружать различные исполняемые файлы или же запускать программы с удаленных серверов. Возможен запуск файлов, которые не хранятся непосредственно на зараженном компьютере. Тем не менее, вредное ПО способно серьезно противодействовать атакам антивирусных программ. Сообщается, что Trojan.GBPBoot.1 имеет в своем составе сразу несколько модулей. 1-й является модификатором главной загрузочной записи (MBR) на винте компьютера, после вмешательства он записывает в конец любого подходящего раздела, который находится вне файловой системы особый модуль вирусного инсталлятора, а также модуль автоматического восстановления и архив с файлом explorer.exe, а также сектор конфигурационных данных. Затем помещает в системную папку инсталлятор вируса и запускает его. После этого собственный файл удаляется. Когда запуск завершен, инсталятор сохраняет конфигурацию в системной папке, а также динамическую библиотеку, она регистрируется в системе как системная служба. После инсталятор активирует службу и снова удаляет себя. Системная же служба активирует загрузку хранящегося в папке конфигурационного файла или читает конфигурационные данные, которые были ранее сохранены на диск, затем связявается с удаленным сервером и передает ему сведения касающиеся инфицированной системы, также пытается загрузить на компьютер передаваемые исполняемые файлы. В случае, если скачать файлы не удается, повторное соединение будет установлено после перезагрузки операционки. Если по любым причинам осуществляется удаление файла службы-трояна, к примеру, из-за сканирования винта антивирусной программой, запускается механизм самовосстановления. Использование модифицированной загрузочной записи при запуске компьютера запускает процедуру проверки присутствия на винте файла системной службы трояна, но при этом файловые системы NTFS и FAT32 полностью поддерживаются. В случае отсутствия такового, вредоносный Trojan.GBPBoot.1 перезаписывает исходный файл explorer.exe измененным, с "инструментом самовосстановления", затем запускается с загрузкой Windows. При получении управления, зараженный explorer.exe инициирует заражение еще раз, после восстанавливает и запускает оригинальный explorer.exe.

Опубликовано: 28.10.2012 01:53

Безсмертний вірус



Ваше имя/Ник:

Комментарий:



Перегрузить

Комментарии Комментарии:
Jesus
10.01.2013 14:59
An itnellignet point of view, well expressed! Thanks!