Специалисты из лаборатории «Доктор Веб» обнаружили очередную вредоносную программу, которая работает в качестве буткита и скрывает свое присутствие в зараженной системе. Эксперты считают, что данное приложение, которое вощло в вирусные базы под названием Trojan.Gapz.1, использует довольно необычные методы заражения ПК. Одно из основных действий руткита – это создание на зараженном ПК специальной среды для загрузки своих модулей с разнообразной функциональной нагрузкой.
Вирус способен работать в 64 и 32-битных версиях системы Windows. При заражении ПК троянская программа проверяет версию используемой на инфицированном компьютере системы. При этом вид установки вредоносной программы устанавливается в зависимости от типа ОС.
Trojan.Gapz.1 использует уязвимости системных компонентов, что дает ему возможность осуществлять выполнение сформированного специальным образом кода, что довольно необычно для угроз такого типа.
Инсталлятор буткита при использовании уязвимостей графической подсистемы Windows способен обойти механизм контроля учетных записей, который предотвращает несанкционированный доступ к системе исполняющих файлов. После этого троянец проводит анализ структуры жесткого диска зараженного ПК и размещает на нем специальный образ. Затем программа проводит модификацию одного поля в загрузочном секторе диска и дает команду системному загрузчику провести запуск вредоносного приложения.
Эксперты выяснили, что Trojan.Gapz.1 является основой сложной вирусной программы, главной целью которой является создание подходящей среды для загрузки других составляющих троянца.
При запуске вредоносная программа загружает с диска несколько модулей и блок конфигурационных данных. Модули представляют собой блоки специального кода, взаимодействующего в процессе своего выполнения со своими API руткита. Возможности и назначение этих компонентов еще не изучены до конца. Известно, например, что один из модулей может устанавливать соединение с командным центром, расположенным удаленно, и загружать из него исполняемый файлы.
Эксперты из лаборатории «Доктор Веб» зафиксировали вредоносное приложение, основной целью которого была работа с платежной системой UCash. Однако в настоящее время изучение новой версии троянской программы еще продолжается.