03.12.2012 Новости, БезопасностьАнтивирусная лаборатория компании «Доктор Веб» проанализировала очередной образец вредоносной программы, реализующей функции буткита и способной скрывать свое присутствие в инфицированной системе. В приложении, добавленном в вирусные базы компании под именем Trojan.Gapz.1, применяются достаточно интересные механизмы заражения пользовательского компьютера. Одно из предназначений руткита — создание на инфицированном ПК среды для загрузки своих основных модулей, несущих различную функциональную нагрузку. Trojan.Gapz.1 способен работать как в 32-, так и в 64-разрядных версиях Windows. В процессе заражения троянец проверяет версию используемой на компьютере системы. Соответственно процедура его установки различается в зависимости от вида платформы. Троянец также способен активно использовать уязвимости ряда системных компонентов, что позволяет ему выполнять специальным образом сформированный код, что нетипично для подобного класса угроз. Инсталлятор буткита пытается обойти механизм контроля учетных записей (User Accounts Control, UAC), предотвращающий несанкционированный запуск в системе исполняемых файлов, эксплуатируя уязвимости графической подсистемы Windows. Сходную технологию (использование специально подготовленного шрифта Dexter Regular) применял в свое время известный троянец Trojan.Duqu. Затем Trojan.Gapz.1 анализирует структуру жесткого диска инфицируемого компьютера, формирует специальный образ и размещает его в зарезервированных секторах диска. После ...
читать далее.
