Поделиться
«Доктор Веб» обнаружила новый троян с функцией буткита для Windows
В антивирусную лабораторию компании «Доктор Веб» — российского разработчика средств информационной безопасности — поступил очередной образец вредоносной программы, реализующей функции буткита и способной скрывать свое присутствие в инфицированной системе.
«В данном приложении, добавленном в вирусные базы под именем Trojan.Gapz.1, применяются достаточно интересные механизмы заражения пользовательского компьютера, — рассказали CNews в «Доктор Веб». — Одно из предназначений руткита — создание на инфицированном ПК среды для загрузки своих основных модулей, несущих различную функциональную нагрузку».
Так, Trojan.Gapz.1 способен работать как в 32-битных, так и в 64-битных версиях ОС Windows. В процессе заражения троян проверяет версию используемой на инфицируемом компьютере системы. Соответственно, сама процедура установки этой вредоносной программы различается в зависимости от вида платформы. «Троян также способен активно использовать уязвимости ряда системных компонентов, что позволяет ему осуществить выполнение специальным образом сформированного кода, что весьма нетипично для подобного класса угроз», — считают специалисты компании.
Инсталлятор буткита осуществляет попытки обхода механизма контроля учетных записей (User Accounts Control, UAC), предотвращающего несанкционированный запуск в системе исполняемых файлов, эксплуатируя уязвимости графической подсистемы Windows. Примечательно, что схожую технологию (использование специально подготовленного шрифта Dexter Regular) применял в свое время известный троян Trojan.Duqu, отметили в «Доктор Веб».
Затем Trojan.Gapz.1 анализирует структуру жесткого диска инфицируемого компьютера, формирует специальный образ и размещает его в зарезервированных секторах диска. После этого троян модифицирует одно поле в загрузочном секторе диска и, таким образом, заставляет системный загрузчик подгрузить и запустить вредоносное приложение.
По мнению специалистов компании, фактически руткит Trojan.Gapz.1 — это ядро сложной вредоносной программы, основная задача которой заключается в том, чтобы создать подходящую среду для загрузки других компонентов трояна. В процессе своего запуска Trojan.Gapz.1 подгружает с диска бинарный образ, содержащий набор из нескольких модулей и блока конфигурационных данных. Эти модули представляют собой блоки специальным образом собранного кода, который в процессе своего выполнения взаимодействует с собственным API руткита.
Как отметили в «Доктор Веб», назначение и функциональные возможности этих компонентов пока еще до конца не изучены. Например, один из модулей обладает способностью устанавливать соединение с удаленным командным центром и загружать оттуда исполняемые файлы. Так, специалистами компании был зафиксирован факт загрузки вредоносного приложения, предназначенного для работы с платежной системой UCash.
Короткая ссылка
