Firma Doctor Web ostrzega przed nowym szkodnikiem Trojan.Yaryar.1 będącym w stanie pracować bezpośrednio na strukturach NTFS. Ten Trojan.Downloader posiada także bogate funkcje analizy i debugowania.

Mechanizm nowego szkodnika nie został jeszcze w pełni zbadany. Jest on przy tym dwuskładnikowy i składa się z droppera i downloadera. Najważniejszą jednak różnicą od innych jest fakt współpracy z systemem NTFS. Dropper zapisuje się na dysku jako biblioteka dynamiczna z losową nazwą i próbuje poprzez cryptsvc.dll wprowadzić specjalny kod wykonywalny.

Trojan.Yaryar.1 posiada zaawansowane funkcje analizy. W momencie uruchomienia próbuje uzyskać dostęp do debugera systemu i przedostać się do procesu Spoolsv.exe. Następnie wyłącza zabezpieczenia systemu, aktualizacje i zaporę. Następnym etapem jest połączenie się ze zdalnym serwerem aby pobrać i uruchomić na komputerze inne szkodniki. W przypadku stwierdzenia iż na komputerze jest już dowlonader, sam jest w stanie siebie usunąć.

źródło: Dr.Web