«Доктор Веб» обнаружил троян, работающий с файловой системой NTFS

Согласно сообщению антивирусной компании «Доктор Веб», ее экспертам по информационной безопасности удалось обнаружить троян, способный работать «непосредственно со структурами NTFS». Данная особенность, по данным исследователей, является редкостью для вредоносных приложений. Кроме того, данный вирус содержит в себе обширный функционал по выявлению средств отладки и анализа.

«Троянец Trojan.Yaryar.1 обладает мощным функционалом по выявлению средств отладки и анализа, и в случае обнаружения таковых удаляет себя с инфицированного компьютера», - подчеркивают эксперты.

Состоит троян из двух модулей (дроппер и загрузчик), написанных на языке программирования С++. Также вирус содержит алгоритм работы со структурами файловой системы NTFS.

В настоящий момент механизм распространения вредоносной программы исследовали не до конца, однако в «Доктор Веб» уже подробно изучили алгоритм его поведения на зараженной системе.

Инфицировав машину, дроппер трояна сохраняет загрузчик в виде динамической библиотеки со случайным именем. Далее он пытается загрузить ее, используя библиотеку cryptsvc.dll, куда предварительно внедряется специальный двоичный исполняемый код.

После запуска вирус пытается получить в системе привилегии отладчика и внедриться в процесс spoolsv.exe. Затем он отключает Службу безопасности Windows, Службу автоматического обновления и Брандмауэр Windows, что позволяет ему установить соединение с удаленными серверами.

Ознакомиться с отчетом «Доктор Веб» можно здесь .