Новый троян разгулялся в Интернете

**ezup** · 30.10.2012, 11:06 #1

Новая троянская программа Trojan.GBPBoot.1. угрожает безопасности Сети. Данное вредоносное программное обеспечение получило широкое распространение за последнее время и особенно опасно тем, что обладает способностью к самовосстановлению. Специалисты называют троян Trojan.GBPBoot.1. довольно примитивной вредоносной программой, с точки зрения выполняемых им функций. Эта программа способна загружать с удаленных серверов, а потом запускать на инфицированном компьютере различные файлы или же запускать программы, которые уже содержаться там. Этими действиями и исчерпываются вредоносные функции трояна. Однако, у него существует некоторая особенность: троянец способен весьма серьезно противодействовать попыткам его удаления.

По словам экспертов, Trojan.GBPBoot.1 представляет собой несколько модулей. Один из них устанавливает основную загрузочную запись (MBR) на жестком диске компьютера, а потом, после выполненной модификации, записывает в конце подходящего раздела, вне файловой системы другой модуль вирусного инсталлятора, модуль автоматического восстановления вредоносного ПО. После этого, вирусный инсталлятор помещается в системную папку, запускается, а собственный файл модуль удаляет.

То есть, после того, как произошел запуск, вирусный инсталлятор сохраняет в системную папку измененный файл, которую затем регистрирует в системе. Далее системная служба запускается, а инсталлятор самоудаляется.

Затем, системная служба загружает конфигурационный файл и устанавливает связь с удаленным сервером, для передачи информации об инфицированном компьютере. После этого, служба старается загрузить на пораженный компьютер передаваемые сервером исполняемые файлы. Если это не удалось сделать с первого раза, то после следующей перезагрузке системы попытка повторяется вновь.

Если же по каким-то причинам и происходит удаление троянской программы, например, после сканирования системы антивирусом, то позже срабатывает механизм самовосстановления. При использовании вредоносным ПО модифицированной загрузочной записи в момент запуска всей системы, обычно происходит проверка диска на наличие вирусов, при этом поддерживаются файловые системы стандартов NTFS и FAT32.

При его отсутствии, троянец самостоятельно заменяет стандартный файл explorer.exe на собственный, который и содержит данный механизм самовосстановления, который запускается заново после очередной загрузки компьютера. После этого, измененный файл explorer.exe заново запускает процесс заражения системы и восстанавливает предыдущий вариант explorer.exe. в итоге, сканирование системы различными антивирусами не приводит к необходимому результату, так как вирус способен к самовосстановлению в защищенной системе.

**Corvus** · 30.10.2012, 11:24 #2

ух как совершенствуются вирусописатели, произведения все лучше и лучше становятся
----------
именно поэтому сегодня одного антивиря не достаточно уже, еще как минимум программный файерволл требуется

**den_fan** · 30.10.2012, 11:45 #3

это точно и уже не знаешь где хапнешь вирус

**Corvus** · 30.10.2012, 13:26 #4

тут только бекапы спасают, по крайней мере как не защищайся, от заразы никто не застрахован

Похожие статьи
Статья	Автор	Раздел	Ответов	Последнее сообщение
Т-28 «Троян»	ezup	История мировой авиации	0	06.08.2018 15:27
Интересные факты об Интернете	ezup	Интересные факты и советы	0	25.09.2014 04:31
Мама сидит в Интернете	ezup	Прикольные стишки	0	16.01.2013 19:04
Об интернете	ezup	Забавное	0	09.01.2013 20:53
Более 600 тысяч «маков» подхватили троян	Mango	Новости IT технологий	1	05.04.2012 22:39

30.10.2012, 11:06 #1	#1
ezup Чебуралиссимус Регистрация: 23.04.2011 Адрес: Тверь Имя: Олег Сообщений: 128,471 Сказал(а) спасибо: 585 Поблагодарили 1,303 раз(а) в 872 сообщениях Репутация: 9812	Новый троян разгулялся в Интернете ezup Новая троянская программа Trojan.GBPBoot.1. угрожает безопасности Сети. Данное вредоносное программное обеспечение получило широкое распространение за последнее время и особенно опасно тем, что обладает способностью к самовосстановлению. Специалисты называют троян Trojan.GBPBoot.1. довольно примитивной вредоносной программой, с точки зрения выполняемых им функций. Эта программа способна загружать с удаленных серверов, а потом запускать на инфицированном компьютере различные файлы или же запускать программы, которые уже содержаться там. Этими действиями и исчерпываются вредоносные функции трояна. Однако, у него существует некоторая особенность: троянец способен весьма серьезно противодействовать попыткам его удаления. По словам экспертов, Trojan.GBPBoot.1 представляет собой несколько модулей. Один из них устанавливает основную загрузочную запись (MBR) на жестком диске компьютера, а потом, после выполненной модификации, записывает в конце подходящего раздела, вне файловой системы другой модуль вирусного инсталлятора, модуль автоматического восстановления вредоносного ПО. После этого, вирусный инсталлятор помещается в системную папку, запускается, а собственный файл модуль удаляет. То есть, после того, как произошел запуск, вирусный инсталлятор сохраняет в системную папку измененный файл, которую затем регистрирует в системе. Далее системная служба запускается, а инсталлятор самоудаляется. Затем, системная служба загружает конфигурационный файл и устанавливает связь с удаленным сервером, для передачи информации об инфицированном компьютере. После этого, служба старается загрузить на пораженный компьютер передаваемые сервером исполняемые файлы. Если это не удалось сделать с первого раза, то после следующей перезагрузке системы попытка повторяется вновь. Если же по каким-то причинам и происходит удаление троянской программы, например, после сканирования системы антивирусом, то позже срабатывает механизм самовосстановления. При использовании вредоносным ПО модифицированной загрузочной записи в момент запуска всей системы, обычно происходит проверка диска на наличие вирусов, при этом поддерживаются файловые системы стандартов NTFS и FAT32. При его отсутствии, троянец самостоятельно заменяет стандартный файл explorer.exe на собственный, который и содержит данный механизм самовосстановления, который запускается заново после очередной загрузки компьютера. После этого, измененный файл explorer.exe заново запускает процесс заражения системы и восстанавливает предыдущий вариант explorer.exe. в итоге, сканирование системы различными антивирусами не приводит к необходимому результату, так как вирус способен к самовосстановлению в защищенной системе.

30.10.2012, 11:24 #2	#2
Corvus Младший лейтенант Регистрация: 23.04.2011 Адрес: Москва Имя: Сергей Сообщений: 2,738 Сказал(а) спасибо: 2 Поблагодарили 21 раз(а) в 13 сообщениях Репутация: 869	Corvus ух как совершенствуются вирусописатели, произведения все лучше и лучше становятся ---------- именно поэтому сегодня одного антивиря не достаточно уже, еще как минимум программный файерволл требуется

30.10.2012, 11:45 #3	#3
den_fan Генералиссимус Регистрация: 19.04.2012 Адрес: Москва Имя: Денис Сообщений: 35,194 Сказал(а) спасибо: 547 Поблагодарили 830 раз(а) в 575 сообщениях Репутация: 4862 Наш спонсор	den_fan это точно и уже не знаешь где хапнешь вирус

30.10.2012, 13:26 #4	#4
Corvus Младший лейтенант Регистрация: 23.04.2011 Адрес: Москва Имя: Сергей Сообщений: 2,738 Сказал(а) спасибо: 2 Поблагодарили 21 раз(а) в 13 сообщениях Репутация: 869	Corvus тут только бекапы спасают, по крайней мере как не защищайся, от заразы никто не застрахован