«ДОКТОР ВЕБ» ВИЯВИВ ТРОЯН, працює з файловими системами NTFS

01.08.2012

Згідно з повідомленням антивірусної компанії "Доктор Веб", її експертам з інформаційної безпеки вдалося виявити троян, здатний працювати «безпосередньо зі структурами NTFS». Дана особливість, за даними дослідників, є рідкістю для шкідливих додатків. Крім того, даний вірус містить у собі великий функціонал по виявленню засобів налагодження та аналізу.«Троянець Trojan.Yaryar.1 володіє потужним функціоналом по виявленню засобів налагодження та аналізу, і у випадку виявлення таких видаляє себе з інфікованого комп'ютера», - підкреслюють експерти.Складається троян з двох модулів (дроппер і завантажувач), написаних на мові програмування С + +. Також вірус містить алгоритм роботи зі структурами файлової системи NTFS.На даний момент механізм поширення шкідливої ??програми досліджували не до кінця, проте в «Доктор Веб» вже докладно вивчили алгоритм його поведінки на зараженій системі.Інфікувавши машину, дроппер трояна зберігає завантажувач у вигляді динамічної бібліотеки з випадковим ім'ям. Далі він намагається завантажити її, використовуючи бібліотеку cryptsvc.dll, куди попередньо впроваджується спеціальний двійковий виконуваний код.Після запуску вірус намагається отримати в системі привілеї відладчика і впровадитися в процес spoolsv.exe. Потім він відключає Службу безпеки Windows, Службу автоматичного оновлення і Брандмауер Windows, що дозволяє йому встановити з'єднання з віддаленими серверами.