«Доктор Веб»: Китайский троян инфицирует загрузочную запись

«Доктор Веб»: Китайский троян инфицирует загрузочную запись

Вредоносная программа включает в себя восемь функциональных модулей: инсталлятор, три драйвера, динамическую библиотеку и ряд вспомогательных компонентов.

Эксперты компании «Доктор Веб» обнаружили новую троянскую программу, которая инфицирует загрузочную запись жесткого диска компьютера. Главной целью угрозы является перенаправление жертвы на указанные авторами трояна web-сайты посредством использования ее браузера.

По сообщениям специалистов, Trojan.Xytets была создана в Китае. Она включает в себя восемь функциональных модулей: инсталлятор, три драйвера, динамическую библиотеку и ряд вспомогательных компонентов.

После запуска на системе потенциальной жертвы, троянская программа проверяет, не загружена ли она в виртуальной машине и не используется ли на атакованном компьютере откладчик. В случае, когда эти приложения присутствуют на системе, троянец сообщает об этом удаленному серверу и завершает свою работу.

При заражении компьютера жертвы Trojan.Xytets сохраняет на диске и регистрирует в реестре два драйвера, выполняющих определенные функции трояна. Помимо этого, вредоносная программа также запускает собственный брандмауэр, который перехватывает отправляемые с инфицированного компьютера IP-пакеты. Брандмауэр также препятствует посещению пользователем некоторых web-сайтов, список которых прописан в конфигурационном файле. При этом файлы трояна и вредоносные драйверы сохраняются на диск дважды: в файловой системе и в конце раздела жесткого диска.

В «Доктор Веб» отмечают, что один из драйверов вредоносной программы проверяет процессы, которые запускаются на инфицированной системе, и блокирует запуск тех, которые могут помешать ее работе. 

Trojan.Xytets скрывает некоторые файлы, хранящиеся на диске, и перезаписывает главную загрузочную запись, что позволяет ему получить управление в процессе загрузки операционной системы. 

Информация, которую троянская программа передает на расположенный в Китае сервер злоумышленников, включает данные об инфицированном компьютере, о версиях операционной системы и самого трояна.

С отчетом «Доктор Веб» можно ознакомиться здесь .

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас