Trojan.Gapz.1 - новая угроза для Windows систем


Trojan.Gapz.1 - вредоносная программа, реализующая функции буткита и способная скрывать свое присутствие в инфицированной системе. Одно из предназначений руткита — создание на инфицированном ПК среды для загрузки своих основных модулей, несущих различную функциональную нагрузку.

Trojan.Gapz.1 способен работать в 32- и в 64-битных версиях ОС Windows. В процессе заражения троян проверяет версию используемой на инфицируемом компьютере системы. В свою очередь, сама процедура установки этой вредоносной программы различается в зависимости от вида платформы. Троян способен активно использовать уязвимости ряда системных компонентов, что позволяет ему осуществить выполнение специальным образом сформированного кода, а это весьма нетипично для подобного класса угроз.

Инсталлятор буткита осуществляет попытки обхода механизма контроля учетных записей (User Accounts Control, UAC), предотвращающего несанкционированный запуск в системе исполняемых файлов, эксплуатируя уязвимости графической подсистемы Windows. Схожую технологию (использование специально подготовленного шрифта Dexter Regular) применял в свое время известный троян Trojan.Duqu.

Затем Trojan.Gapz.1 анализирует структуру жесткого диска инфицируемого компьютера, формирует специальный образ и размещает его в зарезервированных секторах диска. После этого троян модифицирует одно поле в загрузочном секторе диска, и таким образом заставляет системный загрузчик подгрузить и запустить вредоносное приложение.

Фактически руткит Trojan.Gapz.1 — ядро сложной вредоносной программы, основная задача которой, заключается в создании подходящей среды для загрузки других компонентов трояна. В процессе своего запуска Trojan.Gapz.1 подгружает с диска бинарный образ, содержащий набор из нескольких модулей и блока конфигурационных данных. Эти модули представляют собой блоки специальным образом собранного кода, который в процессе своего выполнения взаимодействует с собственным API руткита. Назначение и функциональные возможности этих компонентов пока еще до конца не изучены. Однако известно, что один из модулей обладает способностью устанавливать соединение с удаленным командным центром и загружать оттуда исполняемые файлы. Так, специалистами компании "Доктор Веб" был зафиксирован факт загрузки вредоносного приложения, предназначенного для работы с платежной системой UCash.

TrojanGapz1 zagrujaet vredonos prilojenie