Trojan.Xytets - новый многокомпонентный буткит


Trojan.Xytets - новый многокомпонентный буткит, способный заражать загрузочную запись жесткого диска (MBR) на инфицированном компьютере. Основное предназначение данной угрозы, перенаправление жертвы с использованием ее браузера на указанные вирусописателями веб-страницы.

Trojan.Xytets разработан в Китае и состоит из восьми функциональных модулей:

  • инсталлятора;
  • трех драйверов;
  • динамической библиотеки;
  • ряда вспомогательных компонентов.


Запустившись в операционной системе, троян проверяет, не загружен ли он в виртуальной машине и не используется ли на атакованном компьютере отладчик. При наличии подобных приложений, Trojan.Xytets сообщает об этом удаленному командному центру и завершает свою работу. Также осуществляется проверка на наличие в инфицированной системе ряда приложений, используемых для тарификации и биллинга в китайских интернет-кафе. О результатах этой проверки также сообщается серверу. Далее троян инициирует процесс заражения атакованного компьютера.

В ходе заражения Trojan.Xytets сохраняет на диске и регистрирует в реестре два драйвера, реализующих различные функции вредоносной программы. Также он запускает собственный брандмауэр, перехватывающий отправляемые с инфицированного компьютера IP-пакеты. Брандмауэр не пускает пользователя на веб-сайты, список которых хранится в специальном конфигурационном файле. При этом файлы трояна и вредоносные драйверы сохраняются на диск дважды - в файловой системе и в конце раздела жесткого диска. При удалении этих файлов, они будут автоматически восстановлены при следующей загрузке Windows.

Function windows

Один из драйверов отслеживает запускаемые в инфицированной системе процессы и пытается определить их "опасность" для трояна. При этом Trojan.Xytets не позволяет запуститься процессам способным помешать его работе. Trojan.Xytets обладает функционалом, позволяющим удалять нотификаторы драйверов некоторых антивирусных программ. В результате антивирусное ПО перестает реагировать на запуск инициированных трояном вредоносных процессов. Среди поддерживаемых Trojan.Xytets браузеров

  • Microsoft Internet Explorer;
  • Mozilla Firefox;
  • Google Chrome;
  • Opera;
  • Safari;
  • Maxthon;
  • QQBrowser;
  • GreenBrowser;
  • некоторые другие.


Затем троян скрывает ряд хранящихся на диске файлов и перезаписывает главную загрузочную запись таким образом, что в процессе загрузки операционной системы вредоносная программа получает управление. Также Trojan.Xytets обладает развитым функционалом, позволяющим скрывать собственное присутствие в инфицированной системе, вследствие чего эту угрозу также можно отнести к категории руткитов.

Trojan.Xytets передает злоумышленникам информацию об

  • инфицированном компьютере;
  • версиях операционной системы;
  • самой вредоносной программы.


Судя по содержимому веб-страниц, демонстрируемых в пользовательском браузере Trojan.Xytets, его целевой аудиторией являются жители Китая.

Среди функциональных возможностей Trojan.Xytets можно перечислить следующие:

  • подмена стартовой страницы популярных браузеров на URL сайта, принадлежащего злоумышленникам;
  • осуществление http-редиректов;
  • загрузка и запуск различных исполняемых файлов;
  • сохранение в панели быстрого запуска Windows, в папке "Избранное" и на Рабочем столе ярлыков, содержащих ссылки на принадлежащие злоумышленникам сайты. По щелчку мышью на таком ярлыке соответствующая веб-страница открывается в браузере;
  • запуск по расписанию обозревателя Microsoft Internet Explorer и открытие в нем принадлежащей злоумышленникам веб-страницы;
  • блокировка доступа к ряду веб-сайтов по заранее сформированному списку;
  • блокировка запуска некоторых приложений по заранее сформированному списку;
  • скрытие хранящихся на диске файлов;
  • заражение MBR.