Trojan.GBPBoot.1 - троян с функцией восстановления


Trojan.GBPBoot.1 - троянская программа, обладающая интересным механизмом самовосстановления.

Trojan.GBPBoot.1 способен загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы. Этим деструктивный функционал трояна исчерпывается. Однако все же этот троян интересен, а интересен тем, что имеет возможность серьезно противодействовать попыткам его удаления.

Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы):

  • модуль вирусного инсталлятора;
  • модуль автоматического восстановления трояна;
  • архив с файлом explorer.exe;
  • сектор с конфигурационными данными.


После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.

JetSystemDirectory

После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.

В свою очередь, системная служба

  • загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером);
  • устанавливает связь с удаленным управляющим сервером;
  • передает на сервер сведения об инфицированной системе;
  • пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы.


Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной трояном загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим "инструмент самовосстановления", после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Поэтому, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троян способен восстанавливать себя в защищаемой системе.


P.S.: Антивирусные продукты Dr.Web располагает механизмами обнаружения и лечения Trojan.GBPBoot.1, в том числе позволяет восстанавливать поврежденную загрузочную запись.