автор: raven000 03.04.2022 0 Комментарии

С позиции реализуемых данным троянцем вредных функций, Trojan.GBPBoot.1 можно представить достаточно простой вредной платформой: она может грузить с выключенных компьютеров и запускать на инфицированном ПК разные выполняемые документы или запускать платформы, не находящиеся прямо на ПК жертвы. Этим ее деструктивный перечень возможностей истощается. Но любопытен данный троянец в первую очередь тем, что может основательно мешать попыткам его снятия.

Как уточнили в противовирусной компании «Врач Интернет», Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них видоизменяет основную нагрузочную запись (MBR) на твердом диске ПК, затем вписывает в конец нужного раздела (за пределами файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с документом эксплорер.exe и раздел с конфигурационными данными. Затем размещает в системную папку вирусный инсталлятор, пускает его, а свой документ устраняет.

После своего старта вирусный инсталлятор сохраняет в системную папку конфигурационный документ и спортивную библиотеку, которую расписывает в системе в роли системной службы. Потом инсталлятор пускает данную службу и самоудаляется.

К тому же, системная работа грузит находящийся в системной папке конфигурационный документ (или разбирает конфигурационные данные, раньше сохраненные на диск дроппером), ставит зависимость с удаленным правящим компьютером, сообщает ему данные об инфицированной системе и старается скачать на инфицированный персональный компьютер передаваемые компьютером выполняемые документы. Если скачать эти документы не удалось, вторичное объединение ставится после следующей перезагрузки системы.

Если же по каким-нибудь основаниям происходит удаление документа вредной службы (к примеру, в итоге распознавания диска противовирусной платформой), действует механизм самовосстановления. С применением измененной троянцем нагрузочной записи в момент старта ПК начнется операция проверки нахождения на диске документа вредной системной службы, при этом удерживаются файловые системы эталонов NTFS и FAT32. В случае его неимения Trojan.GBPBoot.1 перезаписывает обычный документ эксплорер.exe своим, сохраняющим «инструмент самовосстановления», затем он пускается синхронно с загрузкой ОС Виндоус. Получив регулирование, вредный образец эксплорер.exe вторично стимулирует процедуру инфицирования, затем возобновляет и пускает уникальный эксплорер.exe. Так что, обычное исследование системы разными противовирусными платформами может не привести к предстоящему итогу, так как троянец способен реконструировать себя в обороняемой системе.