Новый троян разгулялся в Интернете

вирус заблокировал компьютер что делать

Новая троянская программа Trojan.GBPBoot.1. угрожает безопасности Сети. Данное вредоносное программное обеспечение получило широкое распространение за последнее время и особенно опасно тем, что обладает способностью к самовосстановлению. Специалисты называют троян Trojan.GBPBoot.1. довольно примитивной вредоносной программой, с точки зрения выполняемых им функций. Эта программа способна загружать с удаленных серверов, а потом запускать на инфицированном компьютере различные файлы или же запускать программы, которые уже содержаться там. Этими действиями и исчерпываются вредоносные функции трояна. Однако, у него существует некоторая особенность: троянец способен весьма серьезно противодействовать попыткам его удаления.

По словам экспертов, Trojan.GBPBoot.1 представляет собой несколько модулей. Один из них устанавливает основную загрузочную запись (MBR) на жестком диске компьютера, а потом, после выполненной модификации, записывает в конце подходящего раздела, вне файловой системы другой модуль вирусного инсталлятора, модуль автоматического восстановления вредоносного ПО. После этого, вирусный инсталлятор помещается в системную папку, запускается, а собственный файл модуль удаляет.

То есть, после того, как произошел запуск, вирусный инсталлятор сохраняет в системную папку измененный файл, которую затем регистрирует в системе. Далее системная служба запускается, а инсталлятор самоудаляется.

Затем, системная служба загружает конфигурационный файл и устанавливает связь с удаленным сервером, для передачи информации об инфицированном компьютере. После этого, служба старается загрузить на пораженный компьютер передаваемые сервером исполняемые файлы. Если это не удалось сделать с первого раза, то после следующей перезагрузке системы попытка повторяется вновь.

Если же по каким-то причинам и происходит удаление троянской программы, например, после сканирования системы антивирусом, то позже срабатывает механизм самовосстановления. При использовании вредоносным ПО модифицированной загрузочной записи в момент запуска всей системы, обычно происходит проверка диска на наличие вирусов, при этом поддерживаются файловые системы стандартов NTFS и FAT32.

При его отсутствии, троянец самостоятельно заменяет стандартный файл explorer.exe на собственный, который и содержит данный механизм самовосстановления, который запускается заново после очередной загрузки компьютера. После этого, измененный файл explorer.exe заново запускает процесс заражения системы и восстанавливает предыдущий вариант explorer.exe. в итоге, сканирование системы различными антивирусами не приводит к необходимому результату, так как вирус способен к самовосстановлению в защищенной системе.

Следующая новость
Предыдущая новость

SpySound v 2009 15 0 Николай Расторгуев Birthday (With Love) Информатика. Тесты информатика, программирование, английский язык — Новинка, версия от 15 мая 2009 г.! Final Uninstaller 2.2.1.381 System Mechanic 9.0.3.3 + patch

Последние новости