«Доктор Веб» обнаружил троян, работающий с файловой системой NTFS

image

Теги: Доктор Веб, отчет, троян, NTFS, новость

Эксперты отмечают, что еще одной особенностью вируса является наличие функционала по выявлению средств отладки и анализа.

Согласно сообщению антивирусной компании «Доктор Веб», ее экспертам по информационной безопасности удалось обнаружить троян, способный работать «непосредственно со структурами NTFS». Данная особенность, по данным исследователей, является редкостью для вредоносных приложений. Кроме того, данный вирус содержит в себе обширный функционал по выявлению средств отладки и анализа.

«Троянец Trojan.Yaryar.1 обладает мощным функционалом по выявлению средств отладки и анализа, и в случае обнаружения таковых удаляет себя с инфицированного компьютера», - подчеркивают эксперты.

Состоит троян из двух модулей (дроппер и загрузчик), написанных на языке программирования С++. Также вирус содержит алгоритм работы со структурами файловой системы NTFS.

В настоящий момент механизм распространения вредоносной программы исследовали не до конца, однако в «Доктор Веб» уже подробно изучили алгоритм его поведения на зараженной системе.

Инфицировав машину, дроппер трояна сохраняет загрузчик в виде динамической библиотеки со случайным именем. Далее он пытается загрузить ее, используя библиотеку cryptsvc.dll, куда предварительно внедряется специальный двоичный исполняемый код.

После запуска вирус пытается получить в системе привилегии отладчика и внедриться в процесс spoolsv.exe. Затем он отключает Службу безопасности Windows, Службу автоматического обновления и Брандмауэр Windows, что позволяет ему установить соединение с удаленными серверами.

Ознакомиться с отчетом «Доктор Веб» можно здесь


или введите имя

CAPTCHA
User
30-07-2012 10:12:57
установил несколько дебагеров и смотриш как вирусы делают себе харакири
0 |
))))
30-07-2012 11:36:31
тоже об этом подумал.. пугливые нынче трояны пошли)))
0 |
Гость
30-07-2012 14:35:19
Так вроде же статическое внедрение кода в библиотеку должно привести к тому, что библиотека как минимум перестанет быть подписанной микрософтом. Разве это в нынешних вендах никем/ничем не проверяется?
0 |
winnt
30-07-2012 20:14:57
а ты думал? Ничем, естественно. api тоже самое.
0 |
Гость
31-07-2012 17:09:16
Досадно, я-то полагал, что её загрузку залочит какая-нибудь компонента из множества отвечающих за безопасность, добавленных в NT6+.
0 |
Loki
31-07-2012 15:17:09
После запуска вирус пытается получить в системе привилегии отладчика и внедриться в процесс spoolsv.exe. Затем он отключает Службу безопасности Windows, Службу автоматического обновления и Брандмауэр Windows, Т.е. если эта служба отключена,то облом-с?А если на винде стоит не нативный файер?
0 |