Новый троянец восстанавливает себя после удаления

Александр Панасенко 26 Октября 2012 - 10:13

...

Компания «Доктор Веб» сообщает о распространении новой троянской программы Trojan.GBPBoot.1, обладающей интересным механизмом самовосстановления. С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы.

Этим ее деструктивный функционал исчерпывается. Однако интересен этот троянец прежде всего тем, что имеет возможность серьезно противодействовать попыткам его удаления.

Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.

После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.

В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32.

В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 02 Апреля 2026 - 17:00

Общее R-Vision

На R-EVOlution Conference 2026 появится отдельный технический трек по ИБ

На R-EVOlution Conference 2026 впервые появится отдельный технический трек. Если раньше конференция в целом была посвящена вопросам ИБ и ИТ, то теперь в программе появится направление, целиком отданное прикладной информационной безопасности — без общего разговора «про тренды», а с упором на рабочие инструменты, реальные кейсы и повседневные задачи специалистов.

Новый трек R-EVOlution Conference 2026 ориентирован на инженеров, сотрудников SOC, архитекторов и руководителей профильных команд.

В центре программы — то, с чем такие специалисты сталкиваются не в теории, а в ежедневной практике: threat hunting, мониторинг и реагирование на инциденты, поиск и устранение уязвимостей, а также настройка и отладка ключевых ИБ-систем.

Судя по программе, организаторы сделали ставку именно на прикладной формат. Например, один из докладов будет посвящён тому, как выстроить автоматизированную обработку алертов — от события в SIEM до создания и закрытия инцидента. Спикер Андрей Урывко из «ВсеИнструменты.ру» собирается разобрать архитектуру пайплайна на базе IRIS, Cortex, MISP и n8n, а также показать, как связать эти инструменты в единый процесс реагирования.

Ещё один доклад затронет довольно горячую тему — атаки на ИИ-агентов. Главный эксперт HiveTrace Данил Капустин расскажет о Red Teaming LLM и агентных ИИ-систем, включая реальные сценарии атак, open source-инструменты и практические меры защиты. В фокусе — не абстрактные риски, а вполне конкретные проблемы, от Shadow AI до безопасности облачных LLM.

Отдельная сессия будет посвящена Threat Intelligence в SOC. Евгений Петров из «Газинформсервиса» собирается говорить о довольно знакомой для многих проблеме: как не перегрузить SIEM индикаторами компрометации, не утонуть в ложных срабатываниях и при этом сохранить практическую ценность аналитики.

Также в программе есть доклад о разборе резонансных уязвимостей 2025 года и атак, которые были с ними связаны. Независимый эксперт Антон Кузнецов планирует показать, какие артефакты и IOC действительно важны при расследовании, как выстраивать логику анализа цепочек атак и какие следы эксплуатации чаще всего упускают в корпоративных инфраструктурах.

Помимо нового технического трека, на конференции будет работать отдельная зона SIEM Lounge, где организаторы обещают в реальном времени показывать нагрузочное тестирование R-Vision SIEM при постоянной нагрузке до 300 тыс. EPS. Кроме того, в программе заявлены практические воркшопы по расследованию инцидентов: участникам предложат разбирать кейсы самостоятельно, а для лучших предусмотрены призы.

Технический трек будет доступен только в офлайн-формате. После завершения конференции записи докладов обещают выложить отдельно.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!