«Доктор Веб»: Китайский троян инфицирует загрузочную запись

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 30 авг 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Вредоносная программа включает в себя восемь функциональных модулей: инсталлятор, три драйвера, динамическую библиотеку и ряд вспомогательных компонентов.

    Эксперты компании «Доктор Веб» обнаружили новую троянскую программу, которая инфицирует загрузочную запись жесткого диска компьютера. Главной целью угрозы является перенаправление жертвы на указанные авторами трояна web-сайты посредством использования ее браузера.

    По сообщениям специалистов, Trojan.Xytets была создана в Китае. Она включает в себя восемь функциональных модулей: инсталлятор, три драйвера, динамическую библиотеку и ряд вспомогательных компонентов.

    После запуска на системе потенциальной жертвы, троянская программа проверяет, не загружена ли она в виртуальной машине и не используется ли на атакованном компьютере откладчик. В случае, когда эти приложения присутствуют на системе, троянец сообщает об этом удаленному серверу и завершает свою работу.

    При заражении компьютера жертвы Trojan.Xytets сохраняет на диске и регистрирует в реестре два драйвера, выполняющих определенные функции трояна. Помимо этого, вредоносная программа также запускает собственный брандмауэр, который перехватывает отправляемые с инфицированного компьютера IP-пакеты. Брандмауэр также препятствует посещению пользователем некоторых web-сайтов, список которых прописан в конфигурационном файле. При этом файлы трояна и вредоносные драйверы сохраняются на диск дважды: в файловой системе и в конце раздела жесткого диска.

    В «Доктор Веб» отмечают, что один из драйверов вредоносной программы проверяет процессы, которые запускаются на инфицированной системе, и блокирует запуск тех, которые могут помешать ее работе.

    Trojan.Xytets скрывает некоторые файлы, хранящиеся на диске, и перезаписывает главную загрузочную запись, что позволяет ему получить управление в процессе загрузки операционной системы.

    Информация, которую троянская программа передает на расположенный в Китае сервер злоумышленников, включает данные об инфицированном компьютере, о версиях операционной системы и самого трояна.

    С отчетом «Доктор Веб» можно ознакомиться здесь .



    источник
     
    3 пользователям это понравилось.

Поделиться этой страницей