«Доктор Веб»: Китайский троян инфицирует загрузочную запись

Эксперты компании «Доктор Веб» обнаружили новую троянскую программу, которая инфицирует загрузочную запись жесткого диска компьютера. Главной целью угрозы является перенаправление жертвы на указанные авторами трояна web-сайты посредством использования ее браузера.

По сообщениям специалистов, Trojan.Xytets была создана в Китае. Она включает в себя восемь функциональных модулей: инсталлятор, три драйвера, динамическую библиотеку и ряд вспомогательных компонентов.

После запуска на системе потенциальной жертвы, троянская программа проверяет, не загружена ли она в виртуальной машине и не используется ли на атакованном компьютере откладчик. В случае, когда эти приложения присутствуют на системе, троянец сообщает об этом удаленному серверу и завершает свою работу.

При заражении компьютера жертвы Trojan.Xytets сохраняет на диске и регистрирует в реестре два драйвера, выполняющих определенные функции трояна. Помимо этого, вредоносная программа также запускает собственный брандмауэр, который перехватывает отправляемые с инфицированного компьютера IP-пакеты. Брандмауэр также препятствует посещению пользователем некоторых web-сайтов, список которых прописан в конфигурационном файле. При этом файлы трояна и вредоносные драйверы сохраняются на диск дважды: в файловой системе и в конце раздела жесткого диска.

В «Доктор Веб» отмечают, что один из драйверов вредоносной программы проверяет процессы, которые запускаются на инфицированной системе, и блокирует запуск тех, которые могут помешать ее работе. 

Trojan.Xytets скрывает некоторые файлы, хранящиеся на диске, и перезаписывает главную загрузочную запись, что позволяет ему получить управление в процессе загрузки операционной системы. 

Информация, которую троянская программа передает на расположенный в Китае сервер злоумышленников, включает данные об инфицированном компьютере, о версиях операционной системы и самого трояна.

С отчетом «Доктор Веб» можно ознакомиться здесь .