Logowanie
Trojan GBPBoot z ciekawym mechanizmem samoleczenia
Trojan GBPBoot z ciekawym mechanizmem samoleczenia
Eksperci w firmy Doctor Web wykryli nowego szkodnika konia troja�skiego o nazwie Trojan GBPBoot, kt�ry wyr�nia si� mechanizmem samoleczenia.

Szkodliwe oprogramowanie jest w stanie pobra� ze zdalnego serwera i uruchomi� na zainfekowanym komputerze pliki wykonywalne lub mo�e uruchomi� r�ne programy, kt�re zosta�y zainstalowane na komputerze ofiary. Na tym si� ko�czy funkcjonalno�� trojana, jednak�e jest on interesuj�cy przede wszystkim dlatego , �e posiada on mechanizmy utrudniaj�ce jego usuni�cie z systemu.

Eksperci odkryli, �e Trojan.GBPBoot.1 sk�ada si� z kilku modu��w. Pierwszy z nich zmienia MBR na dysku twardym, a nast�pnie dopisuje na ko�cu sekcji poza systemem plik�w modu� wirusa, kt�ry automatycznie przywr�ci szkodnika podmieniaj�c plik Explorer.exe oraz sektor z danymi konfiguracyjnymi. Trojan nast�pnie umieszcza instalator szkodnika w autostarcie usuwaj�c z niego inne programy.

Po uruchomieniu instalatora, wirus przechowywany jest w pliku konfiguracyjnym oraz tworzy on bibliotek� dynamiczn�, kt�ra w systemie traktowana jest jako us�uga. Trojan.GBPBoot.1 uruchamia t� us�ug� usuwaj�c inne pliki z dysku.

Uruchomiona us�uga �aduje kolejne us�ugi zapisana w katalogu systemowym lub odczytuje je wcze�niej z nadpisanej sekcji MBR. Dalej nawi�zuje on po��czenie ze zdalnym serwerem zarz�dzania dostarczaj�c mu informacje o zainfekowanym systemie i pr�buje pobra� plik wykonywalny z serwera. Je�eli pliki nie zostan� pobrane szkodnik ponownie spr�buje je pobra� przy kolejnym uruchomieniu systemu.

Je�eli zostan� usuni�te szkodliwe pliki (np. przez program antywirusowy), Trojan.GBPBoot.1 wyzwala mechanizm samoleczenia. Korzysta on ze zmodyfikowanego MBR podczas uruchamiania komputera sprawdza on czy istniej� na dysku jego pliki. W przypadku braku plik�w trojan nadpisuje plik explorer.exe z w�asnym "narz�dziem przywracaj�cym", dzi�ki czemu uruchamia si� r�wnolegle z za�adowaniem systemu Windows.

Dostarczony do analizy zainfekowany plik explorer.exe ponownie inicjuje infekcj� usuwaj�c oryginalny plik explorer.exe. Proste skanowanie programem antywirusowym nie usunie szkodnika, poniewa� Trojan.GBPBoot.1 przywr�ci swoje pliki w zainfekowanym systemie.

�r�d�o: cybersecurity.ru
· Lena dnia 26/10/2012 16:36 · 0 komentarzy ·
Pole� znajomym:
Poprzedni

Microsoft nie planuje wydania Service Pack 2 dla Windows 7
Nast�pny

Stworzono najmniejszy na �wiecie ekran 4K2K
Reklama
Komentarze
Brak dodanych komentarzy. Mo�e czas doda� sw�j?
Dodaj komentarz
Dla wszystkich komentarzy wymagana jest ich akceptacja przez moderatora.

Nick:



AntyBOT (dla niezalogowanych): Napisz s�owo hotfix wielkimi literami



Artyku�y
Polecany artyku�


Jak walczy� z pobieraczkiem? Jak odst�pi� od umowy? O tym w artykule.
Ostatnie komentarze
gryPrzez: Maciak Plock [dnia: Apr 03, 2020]
wynik jest wysoko w google, przy...
gryPrzez: MAMBA [dnia: Mar 24, 2020]
Warning: Only 61104 of 61105 MBy...
gryPrzez: Random32 [dnia: Mar 18, 2020]
Witam, u mnie na polskim Window...
gryPrzez: muffintodebil [dnia: Mar 04, 2020]
aha gosicu to niezly jestes zaaw...
gryPrzez: Maciek [dnia: Feb 20, 2020]
2 karty 512 kupione na allegro: ...
gryPrzez: xd [dnia: Feb 05, 2020]
zrobi�em spos�b Vin/7 na dziesi�...
gryPrzez: gtremik [dnia: Jan 25, 2020]
Dzi�ki seba86mu :) Dzia�a
gryPrzez: Mirek [dnia: Jan 22, 2020]
A jest rozwi�zanie dla Windowsa 10?
Gry
Polecany artyku�


Quake

Klasyk FPS w wersji flash.
Programy
Polecany artyku�


Tapin Radio Darmowa aplikacja s�u��ca do s�uchania i nagrywania radia internetowego
Recenzje
Polecana recenzja


Sleeping Dogs
Policjant pod przykrywk� rozpracowuje Triad�.
Facebook