Новый троянец восстанавливает себя после удаления

С точки зрения выполняемых данным троянским приложением вредоносных действий, Trojan.GBPBoot.1 можно признать относительно примитивным вирусом: он способен по команде загружать с внешних серверов и запускать на зараженном компьютере исполняемые файлы либо запускать приложения, которые не хранятся непосредственно на ПК жертвы. На этом деструктивный функционал троянского приложения заканчивается. Однако интересна данная утилита прежде всего тем, что способно оказывать противодействия попыткам удаления.

Как сообщает антивирусная компания Доктор Веб,Trojan.GBPBoot.1 включает в себя несколько модулей. Один из них редактирует MBR (главную загрузочную запись диска), после чего копирует в конец нужного логического диска (вне файловой системы) архив с файлом explorer.exe, модуль автоматического восстановления троянского приложения, модуль вирусного инсталлятора и сектор с конфигурационной информацией. Далее помещает в системный каталог инсталлятор вируса, активирует его, а собственный файл удаляет.


После запуска инсталлятор вируса сохраняет в системном каталоге файл конфигурации и динамическую библиотеку, которую прописывает в Windows как системную службу. После этого инсталлятор активирует данную службу и удаляет сам себя.

В свою очередь, вредоносная служба загружает файл конфигурации, сохраненный ранее в системном каталоге (либо считывает конфигурацию, сохраненную ранее дроппером на диск), соединяется с удаленным сервером, отправляет ему информацию о зараженном компьютере и пытается загрузить на инфицированный ПК и пытается скачать с сервера исполняемые файлы. Если загрузка не удалась, повторное соединение запускается после следующей перезагрузки Windows.

Если по каким-либо причинам осуществляется блокировка файла троянского приложения (например, после сканирования антивирусной программой), запускается инструмент самовосстановления. При помощи загрузочной записи, модифицированной вирусом, в момент старта системы запускается проверка присутствия на диске вирусной системной службы (Trojan.GBPBoot.1 поддерживает файловые системы FAT32 и NTFS). В случае его отсутствия вирус перезаписывает системный файл explorer.exe на собственный файл, содержащий функции восстановления троянской утилиты, который также запускается одновременно с запуском операционной системы. После получения управления, поддельный explorer.exe повторяет процедуру инфицирования, после чего восстанавливает работу оригинального explorer.exe. Таким образом стандартное сканирование системы антивирусными программами может не дать нужного результата, поскольку троянское приложение способно восстанавливаться.