Новый троянец восстанавливает себя после удаления

Александр Панасенко 26 Октября 2012 - 10:13

...

Компания «Доктор Веб» сообщает о распространении новой троянской программы Trojan.GBPBoot.1, обладающей интересным механизмом самовосстановления. С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы.

Этим ее деструктивный функционал исчерпывается. Однако интересен этот троянец прежде всего тем, что имеет возможность серьезно противодействовать попыткам его удаления.

Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.

После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.

В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32.

В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Июня 2026 - 18:04

Малый и средний бизнес Корпорации Управление процессами безопасной разработки (ASOC)Безопасная разработка приложений (DevSecOps) Security Vision

Low-Code в ИБ: как собирать процессы без разработки с нуля

Рынок информационной безопасности всё чаще требует не масштабных платформ на вырост, а быстрых и понятных решений для конкретных задач — обработки инцидентов, управления уязвимостями, интеграции средств защиты и автоматизации рутинных операций.

На этом фоне всё больше внимания привлекают платформы класса Low-Code / No-Code, позволяющие создавать рабочие процессы без полноценной разработки.

Один из таких примеров — платформа Security Vision, о которой рассказала руководитель отдела разработки продуктов компании Ева Беляева в эфире AM Talk.

По сути, Low-Code / No-Code позволяет собирать процессы из готовых блоков и логических схем вместо написания тысяч строк кода. Если специалист понимает, как выполняется задача вручную, он может перенести её логику в визуальный конструктор и автоматизировать процесс.

При этом разработчики никуда не исчезают. Для сложных интеграций и взаимодействия с конечными системами по-прежнему могут использоваться скрипты и программный код. Но значительная часть бизнес-логики переносится в визуальную среду, что заметно ускоряет внедрение новых решений.

В Security Vision такой подход используется сразу в двух направлениях. Первое — создание готовых ИБ-продуктов, включая решения для управления активами, уязвимостями и инцидентами. Второе — предоставление самой платформы заказчикам и партнёрам для самостоятельной разработки собственных решений.

Одним из главных преимуществ считается сокращение времени вывода продуктов на рынок. Вместо формирования полноценной команды разработчиков компания может обучить работе с платформой инженеров и аналитиков, а затем быстро запускать новые процессы и сервисы.

Есть и реальные кейсы. В одном из проектов заказчик отказался от коробочного решения и построил собственную систему на базе платформы Security Vision. Для этого потребовалась команда фактически из полутора специалистов — инженера и аналитика. На создание рабочего продукта ушло около шести месяцев.

Порог входа в платформу называют относительно невысоким. Быстрее всего её осваивают специалисты по информационной безопасности и разработчики. Базовое обучение занимает от двух недель до месяца, а программа стажировки для студентов рассчитана на три месяца.

В самой Security Vision считают, что будущее таких платформ — не просто в автоматизации отдельных задач, а в формировании целых экосистем решений. Чем больше процессов удаётся перевести из ручного режима в конструктор, тем быстрее бизнес получает результат и тем меньше зависит от длительных циклов классической разработки.

Подробнее читайте в нашей большой статье.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!