Специалисты из лаборатории «Доктор Веб» обнаружили очередную вредоносную программу, которая работает в качестве буткита и скрывает свое присутствие в зараженной системе. Эксперты считают, что данное приложение, которое вощло в вирусные базы под названием Trojan.Gapz.1, использует довольно необычные методы заражения ПК. Одно из основных действий руткита – это создание на зараженном ПК специальной среды для загрузки своих модулей с разнообразной функциональной нагрузкой.
Вирус способен работать в 64 и 32-битных версиях системы Windows. При заражении ПК троянская программа проверяет версию используемой на инфицированном компьютере системы. При этом вид установки вредоносной программы устанавливается в зависимости от типа ОС.
Trojan.Gapz.1 использует уязвимости системных компонентов, что дает ему возможность осуществлять выполнение сформированного специальным образом кода, что довольно необычно для угроз такого типа.
Инсталлятор буткита при использовании уязвимостей графической подсистемы Windows способен обойти механизм контроля учетных записей, который предотвращает несанкционированный доступ к системе исполняющих файлов. После этого троянец проводит анализ структуры жесткого диска зараженного ПК и размещает на нем специальный образ. Затем программа проводит модификацию одного поля в загрузочном секторе диска и дает команду системному загрузчику провести запуск вредоносного приложения.
Эксперты выяснили, что Trojan.Gapz.1 является основой сложной вирусной программы, главной целью которой является создание подходящей среды для загрузки других составляющих троянца.
При запуске вредоносная программа загружает с диска несколько модулей и блок конфигурационных данных. Модули представляют собой блоки специального кода, взаимодействующего в процессе своего выполнения со своими API руткита. Возможности и назначение этих компонентов еще не изучены до конца. Известно, например, что один из модулей может устанавливать соединение с командным центром, расположенным удаленно, и загружать из него исполняемый файлы.
Эксперты из лаборатории «Доктор Веб» зафиксировали вредоносное приложение, основной целью которого была работа с платежной системой UCash. Однако в настоящее время изучение новой версии троянской программы еще продолжается.
Доктор Веб: обнаружен новый вид троянца заражающего системы Windows
13 ноября 2012
«Смарт-Технологии» запустили приложение для автоматической заправки самолетов малой авиации
Кибермошенники осваивают портал Госуслуг
Студенты МИФИ, МГИМО и МГУ создадут электронную «Капсулу времени»
Российские инженеры построят самолет «Судного дня»
«РТС-тендер» создаст интерактивного ассистента для малого бизнеса
«Фродекс» представила версию Vulns.io Enterprise VM с функционалом обновления ПО Windows
Международная выставка MITEX. Бренд CAIMAN представил проект «Профессионалы: от мечты к реальности»
Стало известно, как включить темную тему в Р7-Офис
Сообщество Bitget Builders превысило 5000 участников
EliTe Solar реализует свою миссию и отстаивает свои основные ценности
Ultima Markets помогает понять будущее CRM-технологий на FMLS:24
Тимур Абдуллаев: Российские города должны иметь своё «лицо»