Новый Троянец-загрузчик научился работать с файловой системой NTFS
Прислано orange Июль 27 2012 18:33:41
Антивирусные компании предупреждают пользователей о распространении троянского приложения Trojan.Yaryar.1.
Расширенные новости
Антивирусные компании предупреждают пользователей о распространении троянского приложения Trojan.Yaryar.1. Одной из особенностей данного загрузочного вируса является то, что он способен работать непосредственно со структурой файловой системы NTFS, а также имеет в своем арсенале обширный инструментарий для выявления средств отладки и анализа.

Схема распространения данного вируса пока неизвестна, зато подробно изучен принцип работы в зараженной системе.

Вредоносная утилита состоит из двух модулей: дроппера ии загрузчика, оба компонента созданы на языке программирования C++. Особенностью Trojan.Yaryar.1, которая выделяет его на фоне других загрузочных вирусов, является наличие собственного алгоритма взаимодействия со структурой файловой системы NTFS. Дроппер копирует загрузчик на жесткий диск в виде динамичной библиотеки, имя которой выбирается случайным образом. Далее осуществляется попытка загрузить ее при помощи библиотеки cryptsvc.dll, которая предварительно модифицируется.

Троянское приложение Trojan.Yaryar.1 обладает развитым функционалом по поиску средств анализа и отладки в атакуемой системе. В случае обнаружения таких утилит, вирус самостоятельно удаляется с инфицированной системы. После активации троянец осуществляет попытки учить в операционной системе права отладчика и интегрироваться в процесс spoolsv.exe. Далее троянское приложение деактивирует Службу автоматического обновления, Службу безопасности Windows и Брандмауэр Windows, а также активирует соединение с командным сервером для загрузки и запуска на инфицированном ПК других файлов.

Сигнатура данного вируса уже присутствует в антивирусных базах, однако троянская программа может представлять серьезную угрозу для пользователей, которые не пользуются современными антивирусными пакетами.