Китайський троянець заражає завантажувальний запис
Шкідлива програма Trojan.Xytets розроблена в Китаї і складається з восьми функціональних модулів: інсталятора, трьох драйверів, динамічної бібліотеки і ряду допоміжних компонентів. Запустившись в операційній системі, троянець перевіряє, чи завантажений він у віртуальній машині і чи не використовується на атакованому комп'ютері відладчик - якщо наявність подібних програм підтверджується, Trojan.Xytets повідомляє про це віддаленого командного центру і завершує свою роботу. Також здійснюється перевірка на наявність в інфікованої системі ряду програм, що використовуються для тарифікації та білінгу в китайських інтернет-кафе, - про результати цієї перевірки також повідомляється сервера. Потім троянець ініціює процес зараження атакованого комп'ютера.
В ході зараження Trojan.Xytets зберігає на диску і реєструє в реєстрі два драйвери, які реалізують різні функції шкідливої програми, а також запускає власний брандмауер, перехоплює надіслані з інфікованого комп'ютера IP-пакети. Брандмауер не пускає користувача на деякі веб-сайти, список яких зберігається в спеціальному файлі конфігурації. При цьому файли троянця і шкідливі драйвери зберігаються на диск двічі: у файловій системі і в кінці розділу жорсткого диска. Навіть якщо ці файли видалити (що є не такий вже тривіальної завданням, так як троян приховує власні файли), вони будуть автоматично відновлено при наступному завантаженні Windows.
Крім цього, один з драйверів відстежує що запускаються в інфікованої системі процеси і намагається визначити їх «небезпека» для троянця. При цьому Trojan.Xytets не дозволяє запуститися тим процесам, які можуть перешкодити його роботі. Крім того, Trojan.Xytets володіє функціоналом, що дозволяє видаляти нотификаторы драйверів деяких антивірусних програм, - в результаті антивірусне пз перестає реагувати на запуск ініційованих троянцем шкідливих процесів. Троянець здійснює перенаправлення інтерфейсу браузера на веб сайти, список яких також зберігається в конфігураційному файлі. Серед підтримуваних Trojan.Xytets браузерів - Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari, Maxthon, QQBrowser, GreenBrowser і деякі інші.
Потім троянець приховує ряд що зберігаються на диску файлів і перезаписує головний завантажувальний запис таким чином, що в процесі завантаження операційної системи шкідлива програма отримує управління. Крім іншого, Trojan.Xytets володіє розвиненою функціоналом, що дозволяє приховувати власну присутність в інфікованої системи, внаслідок чого цю загрозу також можна віднести до категорії руткітів.
У процесі обміну даними з керуючим сервером, розташованим в Китаї, Trojan.Xytets передає зловмисникам інформацію про інфікованому комп'ютері, про версіях операційної системи і самої шкідливої програми. Судячи по вмісту веб сторінок, які демонструє у вашому браузері Trojan.Xytets, його цільовою аудиторією є жителі Китаю.
Серед функціональних можливостей Trojan.Xytets можна перерахувати наступні:
- підміна стартової сторінки популярних браузерів на URL сайту, що належить зловмисникам;
- здійснення http-редиректів;
- завантаження та запуск різних виконуваних файлів;
- збереження в панелі швидкого запуску Windows, в папці «Вибране» і на Робочому столі ярлики, які містять посилання на належні зловмисникам сайти, - за клацання мишею на такому ярлику відповідна веб-сторінка відкривається в браузері;
- запуск за розкладом браузера Microsoft Internet Explorer і відкриття в ньому належить зловмисникам веб сторінки;
- блокування доступу до ряду веб-сайтів за заздалегідь сформованому списком;
- блокування запуску деяких програм за заздалегідь сформованому списком;
- приховування що зберігаються на диску файлів;
- зараження MBR.