Вниз

6 Декабрь 2012

Обнаружен новый вирус Trojan.Gapz.1

Trojan.Gapz.1

Специалистам «Доктор Веб» поступил для анализа очередной образец вредоносной утилиты, способной скрывать свое нахождение в зараженной системе и реализующей функционал буткита. В данном вирусе, добавленном в антивирусные базы как Trojan.Gapz.1, используются довольно любопытные механизмы инфицирования персонального компьютера. Одно из назначений руткита – создание в зараженной системе среды для загрузки других модулей, обладающих различным функционалом.

Trojan.Gapz.1 умеет функционировать как в 64-битных, так и в 32-х разрядных версиях операционных систем. В процессе инфицирования троянское приложение проверяет версию установленной операционной системы. Соответственно, сам процесс инсталляции вредоносной утилиты различается в зависимости от установленной платформы. Троянское приложение также способно активно эксплуатировать уязвимости ряда компонентов системы, что позволяет ему запустить на выполнение определенным методом сформированного кода, что несвойственно для данного класса угроз. Несомненно, разработчик вируса уже успел получить кучу денег, которые он сможет потратить на новый Мерседес, дом на Кипре или, скажем, украшения из бисера свадебные. Но нужен ли невесте такой муж?.. ;)

Trojan.Gapz.1

Установщик буткита производит попытки обхода инструмента контроля учетных записей (UAC, User Accounts Control), предназначенного для предотвращения несанкционированного запуска исполняемых файлов, используя уязвимость графической подсистемы ОС Windows. Стоит отметить, что аналогичную технологию использовало известное троянское приложение Trojan.Duqu.

Далее Trojan.Gapz.1 сканирует структуру жесткого диска атакуемого компьютера, создает специальный образ и сохраняет его в запасных секторах. После этого вирус редактирует одно из полей в загрузочном секторе, заставляя системный загрузчик во время старта системы загрузить и активировать вредоносную утилиту.

По своей сути, утилита Trojan.Gapz.1 является ядром сложной вредоносной программы, главная цель которой заключается в создании необходимой среды для загрузки остальных модулей троянского приложения. Во время своего запуска вируса Trojan.Gapz.1 загружает бинарный образ с набором модулей и блоком данных конфигурации. Данные модули представляют собой своего рода блоки особым образом сформированного программного кода, который в процессе своей работы взаимодействует с API руткита.

Еще из рубрики Заметки

Поделись своими мыслями!

(обязательно)
(обязательно)

Почтовые адреса не публикуются.

Подпишись на комментарии