Новый троянец восстанавливает себя после удаления

Александр Панасенко 26 Октября 2012 - 10:13

...

Компания «Доктор Веб» сообщает о распространении новой троянской программы Trojan.GBPBoot.1, обладающей интересным механизмом самовосстановления. С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы.

Этим ее деструктивный функционал исчерпывается. Однако интересен этот троянец прежде всего тем, что имеет возможность серьезно противодействовать попыткам его удаления.

Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.

После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.

В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32.

В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 01 Апреля 2026 - 10:50

Трояны Домашние пользователи Лаборатория Касперского

Новый троян-пранкер атакует россиян и издевается над жертвами

Эксперты Kaspersky GReAT обнаружили новый троян для удалённого доступа CrystalX, который атакует российских пользователей и сочетает в себе сразу несколько опасных функций. Он умеет не только красть данные и следить за владельцем устройства, но и буквально устраивать над жертвой жестокий «розыгрыш», демонстративно вмешиваясь в работу компьютера в реальном времени.

По сути, CrystalX — это не просто RAT, а целый набор вредоносных инструментов в одном. В нём сочетаются возможности стилера, кейлоггера, клиппера и шпионского софта.

Зловред может собирать системную информацию, похищать данные из браузеров, а также учётные записи Steam, Discord и Telegram. Отдельный риск он представляет для владельцев криптовалюты, поскольку умеет подменять адреса криптокошельков в буфере обмена.

Помимо этого, CrystalX умеет делать то, что выделяет его на фоне многих других вредоносных инструментов: злоумышленники могут вживую управлять заражённым устройством и превращать атаку в настоящее психологическое давление. Например, заставлять курсор дрожать, менять обои, переворачивать экран, скрывать иконки, выключать систему и отправлять жертве всплывающие сообщения. То есть пользователь не просто теряет контроль над компьютером, он ещё и видит это собственными глазами.

Кроме того, троян способен вести полноценную слежку. Он может делать снимки экрана, записывать звук с микрофона и видео — как с веб-камеры, так и непосредственно с экрана устройства. Получается довольно неприятная комбинация: кража данных, слежка и откровенное запугивание в одном пакете.

Отдельно эксперты обращают внимание на модель распространения CrystalX. Этот инструмент продвигается по схеме Malware-as-a-Service, то есть как «зловред по подписке» или как готовый сервис для других злоумышленников. Его рекламу уже заметили на YouTube и в Telegram. Такая модель заметно снижает порог входа для атакующих: пользоваться подобным инструментом могут не только опытные киберпреступники, но и менее квалифицированные злоумышленники.

Как отметил старший эксперт Kaspersky GReAT Леонид Безвершенко, CrystalX — это полнофункциональный инструмент для кражи данных и слежки, который к тому же позволяет оказывать на жертву дополнительное психологическое давление. По его словам, телеметрия компании уже фиксирует новые версии имплантов, а значит, зловред активно развивается и поддерживается. В Kaspersky ожидают, что в ближайшее время число жертв вырастет, а география распространения расширится.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!