Новый троянец для Windows

Антивирусная лаборатория компании «Доктор Веб» проанализировала очередной образец вредоносной программы, реализующей функции буткита и способной скрывать свое присутствие в инфицированной системе. В приложении, добавленном в вирусные базы компании под именем Trojan.Gapz.1, применяются достаточно интересные механизмы заражения пользовательского компьютера. Одно из предназначений руткита — создание на инфицированном ПК среды для загрузки своих основных модулей, несущих различную функциональную нагрузку.

Trojan.Gapz.1 способен работать как в 32-, так и в 64-разрядных версиях Windows. В процессе заражения троянец проверяет версию используемой на компьютере системы. Соответственно процедура его установки различается в зависимости от вида платформы. Троянец также способен активно использовать уязвимости ряда системных компонентов, что позволяет ему выполнять специальным образом сформированный код, что нетипично для подобного класса угроз.

Инсталлятор буткита пытается обойти механизм контроля учетных записей (User Accounts Control, UAC), предотвращающий несанкционированный запуск в системе исполняемых файлов, эксплуатируя уязвимости графической подсистемы Windows. Сходную технологию (использование специально подготовленного шрифта Dexter Regular) применял в свое время известный троянец Trojan.Duqu.

Затем Trojan.Gapz.1 анализирует структуру жесткого диска инфицируемого компьютера, формирует специальный образ и размещает его в зарезервированных секторах диска. После этого троянец модифицирует одно поле в загрузочном секторе диска и таким образом заставляет системный загрузчик подгрузить и запустить вредоносное приложение.

Фактически руткит Trojan.Gapz.1 — ядро сложной вредоносной программы, основная задача которой состоит в том, чтобы создать подходящую среду для загрузки других компонентов троянца. В процессе запуска Trojan.Gapz.1 подгружает с диска бинарный образ, содержащий набор из нескольких модулей и блока конфигурационных данных. Эти модули представляют собой блоки специальным образом собранного кода, который в процессе выполнения взаимодействует с собственным API руткита. Назначение и функциональные возможности этих компонентов еще до конца не изучены; например, один из модулей способен устанавливать соединение с удаленным командным центром и загружать оттуда исполняемые файлы. В частности, специалисты «Доктор Веб» зафиксировали факт загрузки вредоносного приложения, предназначенного для работы с платежной системой UCash.