Вы здесь: Главная > НОВОСТИ IT > Неубиваемый троянец

Неубиваемый троянец

В сети появилась новая троянская программа Trojan.GBPBoot.1. В принципе новость о вредоносной программе на этом можно было бы и закончить, так как с точки зрения реализуемых вредоносных функций она ничем не отличается от тысячи подобных вирусов. В «обязанности» троянца входит загрузка с удаленных серверов и запуск на инфицированном компьютере различных исполняемых файлов и сбор информации о системе. И с точки зрения антивирусной защиты все довольно примитивно, но… У троянской программы Trojan.GBPBoot.1 есть интересная и довольно-таки неприятная особенность.

Дело в том, что его очень трудно удалить при помощи стандартных средств антивирусной защиты, так как вирус имеет механизм самовосстановления. Trojan.GBPBoot.1 состоит из нескольких модулей. В частности, вирус содержит модуль для изменения главной загрузочной записи (MBR) на жестком диске компьютера, модуль самовосстановления, архив с собственным файлом explorer.exe, модуль установщика и сектор со всеми необходимыми конфигурационными данными.

Давайте попробуем разобраться в работе троянской программы. Первый модуль изменяет главную загрузочную запись и записывает вышеперечисленные модули вирусного инсталлятора, автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными за пределами файловой системы в конец подходящего для себя раздела. Далее он копирует в системную папку вирусный инсталлятор и запускает его, а собственный файл удаляет.

Вирусный инсталлятор регистрирует и запускает новую системную службу, предварительно скопировав динамическую библиотеку и файл конфигурации в системную папку. Далее инсталлятор тоже самоудаляется. В свою очередь, системная служба считывает данные с файла конфигурации и устанавливает связь с удаленным управляющим сервером.

Если Ваш антивирус после сканирования системы вычислит и удалит файл вредоносной службы, сработает механизм самовосстановления троянской программы Trojan.GBPBoot.1. Терминатор какой-то, мне даже писать дальше страшно.

Так вот, используя модифицированную загрузочную запись, в момент запуска компьютера проверяется наличие на жестком диска файла вредоносной системной службы и в случае его отсутствия, Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим  "инструмент самовосстановления", который запускается одновременно с загрузкой операционной системы. Подставной файл explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe.

Как видите, даже если Ваш антивирус выявит и удалит трояна, при следующей перезагрузке вирус снова установится в автоматическом режиме и продолжит свою «грязную» работу.

Это все конечно очень страшно, но жить-то дальше надо лечить-то его все равно надо. Антивирусная компания Dr.Web подтвердила, что располагает механизмами обнаружения и лечения данной угрозы. Поэтому в случае чего рекомендует воспользоваться их продуктами. 

Популярность: 8%

Кстати,
Вам понравилось?

  • Понравилась статья - поделитесь с друзьями через кнопки социальных сетей.
  • Не хотите пропускать новые статьи - подпишитесь на рассылку.

Ваш e-mail: * Ваше имя: *

 

10 комментариев к “Неубиваемый троянец”

  1. Роман пишет:

    Вот блин незадача! Теперь «доктора веба» ставить что ли? а у меня «комодо» стоит и не хочется с ним расставаться...

  2. Владимир пишет:

    Toolwiz Care создает виртуальную среду, защищает компьютер от

    нежелательных изменений...

    programtest.ru/programmyi/toolwiz-care/ :grin:

  3. Алекс пишет:

    Я так понимаю, что «Неубиваемый троянец» пользователи не каждый день ловят. Поэтому, чем пиарить никому не нужный доктор Веб, не проще ли было дать инфу, какие файлы нужно удалить, какие заменить новыми, чтобы положить конец деятельности этой гидры на зараженных компах??! Всего доброго! :evil:

    • Валерий пишет:

      Проверил на своём компе.Вирус действительно находит пока только доктор Веб.Только вот удаляет ли он его я не понял. У меня 4 диска и все оказались поражены.Удаление вируса ни к чему не привело.Даже переустановка системы не помогла.Сделал низкоуровневое форматирование и установил восьмёрку.Пришлось принять ещё некоторые меры для ограничения несанкционированного подключения программ к сети

  4. Borodatych пишет:

    Ни чего полезного. Реклама Dr.Web-а.

    • Валерий пишет:

      Вынужден ответить.Я же не писал,что мне помог Dr.Web.На момент обретения вируса только он смог его обнаружить.Вероятно сейчас это возможно сделать и другими антивирусниками и даже удалить вирус,а мне пришлось всё делать руками.Сейчас я вообще не пользуюсь никакими кроме штатного восьмёрки.Периодически проверяю с помощью EmsisoftEmergencyKit и иногда другими для интереса.Ничего не находится. Полезным в этом опыте нахожу то,что научился определять наличие активного содержимого в системе,его природу и возможный источник

  5. Виктория пишет:

    да, трояны просто звереют, хорошо, хоть есть антивирусник, который это обнаруживает и главное ЛЕЧИТ!

  6. Andrey пишет:

    Все, что создано одним умным дураком, лечится другим умным дураком. Закон жизни. Относиться надо философски. И систематически делать профилактику компьютеру. В частности, если компьютер используется для работы в течение 8 часов в сутки, каждый день, то рекомендую, раз в полгода, переустанавливать операционную систему(кроме Маков). Если система начала подтормаживать, смотрите какие лишние процессы у вас работают. Не рекомендую устанавливать Яндекс бар, с ним вы цепляете шпиона Praetorian.ext. Удавливается легко, убиваете процесс, а потом и программу, чистите реестр и машинка полетела как пепелац без гравицапы.

    P.S. Dr. Web — без рекламы ну, никак не обошлось.

    • Borodatych пишет:

      Не соглашусь с вами. Систему переустанавливать вообще последнее дело. Прекрассно можно и так все исправить. Кто вообще вам всем вбивает в головы это дурное действие систему переустанавливать? Если у пациента болит зуб, то ему нужно отрубить ее и пришить новую? Абсурд!

  7. Borodatych пишет:

    Dr.Web дествительно хорош, но только как сканер, сам его пользую, но как антивирус он не очень. Для инфо)

Оставьте комментарий