9Новая троянская программа Trojan.GBPBoot.1. угрожает безопасности Сети. Данное вредоносное программное обеспечение получило широкое распространение за последнее время и особенно опасно тем, что обладает способностью к самовосстановлению. Специалисты называют троян Trojan.GBPBoot.1. довольно примитивной вредоносной программой, с точки зрения выполняемых им функций. Эта программа способна загружать с удаленных серверов, а потом запускать на инфицированном компьютере различные файлы или же запускать программы, которые уже содержаться там. Этими действиями и исчерпываются вредоносные функции трояна. Однако, у него существует некоторая особенность: троянец способен весьма серьезно противодействовать попыткам его удаления.
По словам экспертов, Trojan.GBPBoot.1 представляет собой несколько модулей. Один из них устанавливает основную загрузочную запись (MBR) на жестком диске компьютера, а потом, после выполненной модификации, записывает в конце подходящего раздела, вне файловой системы другой модуль вирусного инсталлятора, модуль автоматического восстановления вредоносного ПО. После этого, вирусный инсталлятор помещается в системную папку, запускается, а собственный файл модуль удаляет.
То есть, после того, как произошел запуск, вирусный инсталлятор сохраняет в системную папку измененный файл, которую затем регистрирует в системе. Далее системная служба запускается, а инсталлятор самоудаляется.
Затем, системная служба загружает конфигурационный файл и устанавливает связь с удаленным сервером, для передачи информации об инфицированном компьютере. После этого, служба старается загрузить на пораженный компьютер передаваемые сервером исполняемые файлы. Если это не удалось сделать с первого раза, то после следующей перезагрузке системы попытка повторяется вновь.
Если же по каким-то причинам и происходит удаление троянской программы, например, после сканирования системы антивирусом, то позже срабатывает механизм самовосстановления. При использовании вредоносным ПО модифицированной загрузочной записи в момент запуска всей системы, обычно происходит проверка диска на наличие вирусов, при этом поддерживаются файловые системы стандартов NTFS и FAT32.
При его отсутствии, троянец самостоятельно заменяет стандартный файл explorer.exe на собственный, который и содержит данный механизм самовосстановления, который запускается заново после очередной загрузки компьютера. После этого, измененный файл explorer.exe заново запускает процесс заражения системы и восстанавливает предыдущий вариант explorer.exe. в итоге, сканирование системы различными антивирусами не приводит к необходимому результату, так как вирус способен к самовосстановлению в защищенной системе.
