Безрезультатное лечение

7 Ноя 2012 | Автор: | Комментариев нет »

Безрезультатное лечение  Trojan.GBPBoot.1 На первый взгляд примитивная вредоносная программа Trojan.GBPBoot.1, которая загружает с удаленных серверов и исполняет различные файлы и программы, не хранящиеся изначально на компьютере жертвы, оказалось, имеет довольно интересный механизм восстановления.

Trojan.GBPBoot.1 состоит из нескольких модулей, где первый из них модифицирует MBR на жестком диске, записывая в конец подходящего раздела модуль вирусной установки, модуль автоматического восстановления вируса, сектор конфигурации и архив explorer.exe. После копирования троянец помещает в системную папку файл установки и запускает его, после чего собственный файл вирус удаляет.

Даже если антивирусная программа удаляет файл вредоносного ПО, то автоматически срабатывает механизм самовосстановления. В тот момент, когда работа компьютера начинается процесс поиска на диске файла вредоносного ПО, который работает на основе модифицированной троянцем загрузочной записи, при этом стандартные файловые системы NTFS и FAT32 работают в нормальном режиме. В другом случае Trojan.GBPBoot.1 перезаписывает файл explorer.exe собственным с алогичным названием, который будет содержать механизм самовосстановления. Троянец запускается параллельно с запуском самой ОС, после чего процедура заражения повторяется, а вредоносный explorer.exe обратно заменяется стандартным.

 

Здесь вы можете написать комментарий к записи "Безрезультатное лечение".

Войти, чтобы написать отзыв.

Translation
Наши партнеры
Читать нас
О сайте

© 2011-2012 iTRecord обзоры проектов, стартапов, тенденций в мире интернет-маркетинга, блогосфера, seo.

Копирование материалов разрешено только при наличии активной индексируемой ссылки на сайт.