Sophos: Исследована новая версия буткита Guntior


SophosСпециалисты компании Sophos проанализировали новую версию китайского буткита Guntior, которая впервые была обнаружена ещё в 2010 году. В данной версии вредоноса эксперты обнаружили несколько интересных новшеств.

Эксперты установили, что дроппер, как правило, активируется в 2 этапа:

  • файлом динамической библиотеки (DLL);
  • исполняемым файлом формата EXE.

butkit guntior
Файл формата DLL запускается при помощи

  • HelpCrt.exe

который является легитимным исполняемым файлом "Центра Справки Windows".

HelpCrt.exe активирует DLL-библиотеку, после чего выполняется файл формата EXE.

Другой интересной особенностью данной модификации Guntior является то, что вместо того, чтобы "угнать" путь ввода/вывода, используя подобно другим буткитам драйвер минипорта, он использует драйвера мини-класса

  • IRP_MJ_WRITE и IRP_MJ_READ.

Обновлено (19.06.2013 02:25)