Компания «Доктор Веб» — отечественный разработчик денег информационной безопасности — информирует о распространении новенькой троянской программы Trojan.GBPBoot.1, обладающей увлекательным механизмом самовосстановления.
С точки зрения реализуемых заданным троянцем вредных функций, Trojan.GBPBoot.1 можно прозвать полно примитивной вредной программой: она способна загружать с удаленных серверов так как пускать на инфицированном персональном персональном компьютере разные исполняемые файлы или пускать программы, закончить делать хранящиеся непринужденно на персональном персональном компьютере жертвы. для тех самым ее деструктивный функционал исчерпывается. но увлекателен данный троянец сперва всего-навсего тем, как имеет вероятность всерьез противодействовать попыткам его удаления.
Trojan.GBPBoot.1 состоит из нескольких модулей. главнейший из их трансформирует ключевую загрузочную запись (MBR) на жестком диске компьютера, позже чего записывает в гроб благоприятного раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматизированного восстановления троянца, картотека с файлом explorer.exe так как сфера с конфигурационными данными. позже чего помещает в системную папку вирусный инсталлятор, запускает его, а уж личный файл удаляет.
После личного пуска вирусный инсталлятор предохраняет в системную папку конфигурационный файл так как динамическую библиотеку, коию индексирует в системе в качестве системной службы. вслед за тем инсталлятор запускает данную службу так как самоудаляется.
В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, прежде сохраненные на диск дроппером), устанавливает взаимосвязь с удаленным управляющим сервером, передает ему же познания об инфицированной системе так как старается завалить на зараженный персональный компьютер передаваемые сервером исполняемые файлы. в случае коли скачать эти файлы закончить делать удалось, повторное сплетение монтируется позже надлежащей перезагрузки системы.
В случае в случае коли по любым факторам происходит удаление файла вредной службы (например, в итоге сканирования диска антивирусной программой), срабатывает устройство самовосстановления. С внедрением измененной троянцем загрузочной записи в секунда пуска персонального персонального компьютера стартует процедура испытания наличия на диске файла вредной системной службы, при данном поддерживаются файловые системы стандартов NTFS так как FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает штампованный файл explorer.exe собственным, содержащим «инструмент самовосстановления», позже чего он запускается одновр/еменно с загрузкой ОС Windows. приобретя управление, вредный экземпляр explorer.exe вторично стимулирует процедуру заражения, позже чего воскрешает так как запускает своеобразный explorer.exe. подобным образом, ординарное сканирование системы разными антивирусными программами перемножать закончить делать повергнуть к ожидаемому результату, так как троянец в силах возбуждать себя в защищаемой системе.
Антивирусное ПО Dr.Web располагает механизмами обнаружения так как исцеления предоставленной угрозы, в книжка числе разрешает возбуждать покоробленную загрузочную запись, потому Trojan.GBPBoot.1 закончить делать воображает капитальной угрозе для юзеров продуктов «Доктор Веб».
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости