Компания «Доктор Веб» — отечественный разработчик денег информационной безопасности — информирует о распространении новейшей троянской программы Trojan.GBPBoot.1, обладающей увлекательным механизмом самовосстановления.
С точки зрения реализуемых для тех самым троянцем вредных функций, Trojan.GBPBoot.1 можно прозвать хватает примитивной вредной программой: она способна загружать с удаленных серверов так точно кидать на инфицированном персональном персональном компьютере разные исполняемые файлы или кидать программы, закончить хранящиеся конкретно на персональном персональном компьютере жертвы. для тех самым ее деструктивный функционал исчерпывается. но увлекателен данный троянец наперво насолить тем, точно имеет вероятность всерьез противодействовать попыткам его удаления.
Trojan.GBPBoot.1 состоит из нескольких модулей. главнейший из их трансформирует первостепенную загрузочную запись (MBR) на жестком диске компьютера, потом чего записывает в смерть подобающего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль самодействующего восстановления троянца, картотека с файлом explorer.exe так точно сфера с конфигурационными данными. потом чего помещает в системную папку вирусный инсталлятор, запускает его, а уж свой файл удаляет.
После личного пуска вирусный инсталлятор предохраняет в системную папку конфигурационный файл так точно динамическую библиотеку, коию индексирует в системе в качестве системной службы. потомки инсталлятор запускает данную службу так точно самоудаляется.
В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, раньше сохраненные на диск дроппером), устанавливает взаимосвязь с удаленным управляющим сервером, передает ему же знания об инфицированной системе так точно пробует навалить на зараженный комп передаваемые сервером исполняемые файлы. коли скачать эти файлы закончить удалось, повторное слияние монтируется потом надлежащей перезагрузки системы.
В случае коли по любым факторам происходит удаление файла вредной службы (например, в итоге сканирования диска антивирусной программой), срабатывает устройство самовосстановления. С применением измененной троянцем загрузочной записи в время пуска персонального персонального компьютера стартует процедура испытания наличия на диске файла вредной системной службы, при конкретно в этом поддерживаются файловые системы стандартов NTFS так точно FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает шаблонный файл explorer.exe собственным, содержащим «инструмент самовосстановления», потом чего он запускается разом с загрузкой ОС Windows. приобретя управление, вредный экземпляр explorer.exe вторично провоцирует процедуру заражения, потом чего воскрешает так точно запускает своеобразный explorer.exe. подобным образом, элементарное сканирование системы разными антивирусными программами помножать закончить ввергнуть к ожидаемому результату, ведь троянец в силах возрождать себя в защищаемой системе.
Антивирусное ПО Dr.Web располагает механизмами обнаружения так точно исцеления предоставленной угрозы, в фолиант числе разрешает возрождать покоробленную загрузочную запись, потому Trojan.GBPBoot.1 закончить воображает нешуточной угрозе для юзеров продуктов «Доктор Веб».
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web