28.04.2014 Новости, БезопасностьСпециалисты компании «Доктор Веб» опубликовали результаты исследования многокомпонентной троянской программы, обладающей функционалом бэкдора, получившей название BackDoor.Gootkit.112. Модуль, отвечающий за инсталляцию бэкдора в систему и реализацию функций буткита, разработчики BackDoor.Gootkit.112, по мнению экспертов, позаимствовали у троянцев семейства Trojan.Mayachok, но внесли в исходный код ряд существенных изменений. Так, оригинальный Trojan.Mayachok перед началом распространения каждой сборки троянца генерировал уникальный код VBR, на базе которого собиралось вредоносное приложение; в архитектуре BackDoor.Gootkit.112 все функции собраны в самом дроппере, который в процессе заражения видоизменяет код VBR. Драйвер, которому передает управление загрузочная запись раздела (Volume Boot Record, VBR) до момента инициализации системы, также взят из известных исходников Trojan.Mayachok, но его код частично переписан: так, большинство указателей (шелл-код для выполнения инжекта, различные таблицы) были приведены к базонезависимому виду Из драйвера удалены все компоненты, отвечающие за связь с ним работающих в пользовательском режиме модулей троянца, например, позволявшие этим модулям использовать ресурсы скрытой файловой системы VFS. При этом функции инициализации и защиты этой файловой системы в BackDoor.Gootkit.112 остались. Модули полезной нагрузки BackDoor.Gootkit.112 хранит в ветви системного реестра Windows HKLMSOFTWARECXSW, используя для этого значения ...
читать далее.