Специалистам компании Sophos удалось проанализировать новую версию китайского буткита Guntior. Впервы эта вредоносная программа была обнаружена ещё в 2010 году. В данной версии вредоноса эксперты Sophos обнаружили несколько интересных новшеств.
По словам экспертов, дроппер, как правило, активируется в 2 этапа: файлом динамической библиотеки (DLL) и исполняемым файлом формата EXE.
Интересно, что файл формата DLL запускается при помощи HelpCrt.exe, который фактически является легитимным исполняемым файлом Центра Справки Windows.
HelpCrt.exe активирует DLL-библиотеку, после чего выполняется файл формата EXE.
Ещё одна интересная особенность этой модификации Guntior состоит в том, что вместо того, чтобы «угнать» путь ввода/вывода, используя, подобно другим буткитам, драйвер минипорта, он использует драйвера мини-класса IRP_MJ_WRITE и IRP_MJ_READ.
