Logowanie
Trojan GBPBoot z ciekawym mechanizmem samoleczenia
Trojan GBPBoot z ciekawym mechanizmem samoleczenia
Eksperci w firmy Doctor Web wykryli nowego szkodnika konia trojańskiego o nazwie Trojan GBPBoot, który wyróżnia się mechanizmem samoleczenia.

Szkodliwe oprogramowanie jest w stanie pobrać ze zdalnego serwera i uruchomić na zainfekowanym komputerze pliki wykonywalne lub może uruchomić różne programy, które zostały zainstalowane na komputerze ofiary. Na tym się kończy funkcjonalność trojana, jednakże jest on interesujący przede wszystkim dlatego , że posiada on mechanizmy utrudniające jego usunięcie z systemu.

Eksperci odkryli, że Trojan.GBPBoot.1 składa się z kilku modułów. Pierwszy z nich zmienia MBR na dysku twardym, a następnie dopisuje na końcu sekcji poza systemem plików moduł wirusa, który automatycznie przywróci szkodnika podmieniając plik Explorer.exe oraz sektor z danymi konfiguracyjnymi. Trojan następnie umieszcza instalator szkodnika w autostarcie usuwając z niego inne programy.

Po uruchomieniu instalatora, wirus przechowywany jest w pliku konfiguracyjnym oraz tworzy on bibliotekę dynamiczną, która w systemie traktowana jest jako usługa. Trojan.GBPBoot.1 uruchamia tę usługę usuwając inne pliki z dysku.

Uruchomiona usługa ładuje kolejne usługi zapisana w katalogu systemowym lub odczytuje je wcześniej z nadpisanej sekcji MBR. Dalej nawiązuje on połączenie ze zdalnym serwerem zarządzania dostarczając mu informacje o zainfekowanym systemie i próbuje pobrać plik wykonywalny z serwera. Jeżeli pliki nie zostaną pobrane szkodnik ponownie spróbuje je pobrać przy kolejnym uruchomieniu systemu.

Jeżeli zostaną usunięte szkodliwe pliki (np. przez program antywirusowy), Trojan.GBPBoot.1 wyzwala mechanizm samoleczenia. Korzysta on ze zmodyfikowanego MBR podczas uruchamiania komputera sprawdza on czy istnieją na dysku jego pliki. W przypadku braku plików trojan nadpisuje plik explorer.exe z własnym "narzędziem przywracającym", dzięki czemu uruchamia się równolegle z załadowaniem systemu Windows.

Dostarczony do analizy zainfekowany plik explorer.exe ponownie inicjuje infekcję usuwając oryginalny plik explorer.exe. Proste skanowanie programem antywirusowym nie usunie szkodnika, ponieważ Trojan.GBPBoot.1 przywróci swoje pliki w zainfekowanym systemie.

Źródło: cybersecurity.ru
· Lena dnia 26/10/2012 16:36 · 0 komentarzy ·
Poleć znajomym:
Poprzedni

Microsoft nie planuje wydania Service Pack 2 dla Windows 7
Następny

Stworzono najmniejszy na świecie ekran 4K2K
Reklama
Komentarze
Brak dodanych komentarzy. Może czas dodać swój?
Dodaj komentarz
Dla wszystkich komentarzy wymagana jest ich akceptacja przez moderatora.

Nick:



AntyBOT (dla niezalogowanych): Napisz słowo hotfix wielkimi literami



Artykuły
Polecany artykuł


Jak walczyć z pobieraczkiem? Jak odstąpić od umowy? O tym w artykule.
Ostatnie komentarze
gryPrzez: Maciak Plock [dnia: Apr 03, 2020]
wynik jest wysoko w google, przy...
gryPrzez: MAMBA [dnia: Mar 24, 2020]
Warning: Only 61104 of 61105 MBy...
gryPrzez: Random32 [dnia: Mar 18, 2020]
Witam, u mnie na polskim Window...
gryPrzez: muffintodebil [dnia: Mar 04, 2020]
aha gosicu to niezly jestes zaaw...
gryPrzez: Maciek [dnia: Feb 20, 2020]
2 karty 512 kupione na allegro: ...
gryPrzez: xd [dnia: Feb 05, 2020]
zrobiłem sposób Vin/7 na dziesią...
gryPrzez: gtremik [dnia: Jan 25, 2020]
Dzięki seba86mu :) Działa
gryPrzez: Mirek [dnia: Jan 22, 2020]
A jest rozwiązanie dla Windowsa 10?
Gry
Polecany artykuł


Quake

Klasyk FPS w wersji flash.
Programy
Polecany artykuł


Tapin Radio Darmowa aplikacja służąca do słuchania i nagrywania radia internetowego
Recenzje
Polecana recenzja


Sleeping Dogs
Policjant pod przykrywką rozpracowuje Triadę.
Facebook