З'явився троян, який практично неможливо видалити
У Мережі одержала поширення нова троянська програма Trojan.GBPBoot.1. Зловредна ЗА має цікавим механізмом самовідновлення.
З точки зору реалізованих даними троянцем шкідливих функцій, Trojan.GBPBoot.1 можна назвати досить примітивною шкідливою програмою: вона здатна завантажувати з віддалених серверів і запускати на інфікованому комп'ютері різні виконувані файли або запускати програми, не зберігаються безпосередньо на комп'ютері жертви. Цим її деструктивний функціонал вичерпується. Однак цікавий цей троян, насамперед, тим, що має можливість серйозно протидіяти спробам його видалення.
Trojan.GBPBoot.1 складається з декількох модулів. Перший з них модифікує головний завантажувальний запис (MBR) на жорсткому диску комп'ютера, після чого записує в кінець відповідного розділу (поза межами файлової системи) модуль вірусного інсталятора, модуль автоматичного відновлення троянця, архів з файлом explorer.exe і сектор з конфігураційними даними. Після чого поміщає в системну папку вірусний інсталятор, запускає його, а власний файл видаляє.
Після запуску власного вірусний інсталятор зберігає в системну папку конфігураційний файл і динамічну бібліотеку, яку реєструє в системі в якості системної служби. Потім інсталятор запускає цю службу і самовидаляється.
У свою чергу, системна служба завантажує що зберігається в системній папці конфігураційний файл (або читає конфігураційні дані, раніше збережені на диск дроппером), встановлює зв'язок з віддаленим керуючим сервером, передає йому відомості про інфікованої системі і намагається завантажити на заражений комп'ютер передані сервером виконувані файли. Якщо завантажити ці файли не вдалося, повторне з'єднання встановлюється після наступного перезавантаження системи.
У разі якщо по якихось причинах відбувається видалення файлу шкідливої служби (наприклад, в результаті сканування диска антивірусною програмою), спрацьовує механізм самовідновлення. З використанням модифікованої троянцем завантажувального запису в момент запуску комп'ютера стартує процедура перевірки наявності на диску файлу шкідливої системної служби, при цьому підтримуються файлові системи стандартів NTFS, FAT32. У разі його відсутності Trojan.GBPBoot.1 перезаписує стандартний файл explorer.exe власним, що містять «інструмент самовідновлення», після чого він запускається одночасно із завантаженням Windows. Отримавши управління, шкідливий примірник explorer.exe повторно ініціює процедуру зараження, після чого відновлює і запускає оригінальний explorer.exe. Таким чином, просте сканування системи різними антивірусними програмами може не привести до очікуваного результату, оскільки троянець здатний відновлювати себе в захищається системі.