Перейти к содержанию
AM_Bot

Новый Троянец-загрузчик научился работать с файловой системой NTFS

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

26 июля 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о распространении троянский программы Trojan.Yaryar.1. Одна из характерных особенностей данного троянца-загрузчика заключается в том, что он умеет работать непосредственно со структурами NTFS, а также обладает обширным функционалом по выявлению средств отладки и анализа.

Механизм распространения этого троянца пока до конца не исследован, зато изучен алгоритм его поведения в инфицированной системе. Вредоносная программа состоит из двух модулей: дроппера и загрузчика, оба компонента написаны на языке С++. Отличительной особенностью Trojan.Yaryar.1, выделяющей его в ряду других троянцев-загрузчиков, является то, что он обладает собственным алгоритмом работы со структурами файловой системы NTFS. Дроппер сохраняет загрузчик на диск в виде динамической библиотеки со случайным именем, после чего пытается загрузить ее с использованием библиотеки cryptsvc.dll, в которую предварительно внедряет специальный двоичный исполняемый код.

Троянец Trojan.Yaryar.1 обладает мощным функционалом по выявлению средств отладки и анализа, и в случае обнаружения таковых удаляет себя с инфицированного компьютера. После запуска троянец пытается получить в системе привилегии отладчика и внедриться в процесс spoolsv.exe. Затем Trojan.Yaryar.1 отключает Службу безопасности Windows, Службу автоматического обновления и Брандмауэр Windows, после чего устанавливает соединение с удаленными серверами для выполнения загрузки и запуска на зараженном компьютере других файлов.

Сигнатура этой угрозы добавлена в антивирусные базы Dr.Web, однако данный троянец может представлять опасность для пользователей, игнорирующих необходимость установки на своих ПК современных антивирусных программ.

Источник

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано

Dropper:

SHA1: c13e605492dca318579c981734ea8510eb2aed37

MD5: 96406b407c3b7d6c6cc21b947ab22c39

payload:

SHA1: d420e68504198923fd69911967850860adebfcc7

MD5: 819463ed3de00f977146587def9f4150

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Добавлю в след. версии.
      Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.
    • Ego Dekker
      ESET SysRescue Live

      От Ego Dekker · Опубликовано

      ESET SysRescue Live был обновлён до версии 1.0.22.
    • Ego Dekker
      Актуальные версии антивируса 15-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы ESET были обновлены до версии 15.2.17.
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      uVS - Тестирование

      От SQx · Опубликовано

      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
×