Новый троян-загрузчик Yaryar подружился с файловой системой NTFS

27/07/2012 14:09

Компания «Доктор Веб» предупреждает пользователей о распространении троянский программы Trojan.Yaryar.1 (речь идет об одном из вариантов трояна ZeroAccess (Max++) aka Sirefef - прим). Одна из характерных особенностей данного трояна-загрузчика заключается в том, что он умеет работать непосредственно со структурами NTFS, а также обладает обширным функционалом по выявлению средств отладки и анализа. Механизм распространения этого трояна пока до конца не исследован, зато изучен алгоритм его поведения в инфицированной системе. Вредоносная программа состоит из двух модулей: установщика и загрузчика, оба компонента написаны на языке С++. Отличительной особенностью Trojan.Yaryar.1, выделяющей его в ряду других троянов-загрузчиков, является то, что он обладает собственным алгоритмом работы со структурами файловой системы NTFS. Модуль установки трояна сохраняет загрузчик на диск в виде динамической библиотеки со случайным именем, после чего пытается загрузить ее с использованием библиотеки "cryptsvc.dll", в которую предварительно внедряет специальный двоичный исполняемый код. Троян Trojan.Yaryar.1 обладает мощным функционалом по выявлению средств отладки и анализа, и в случае обнаружения таковых удаляет себя с инфицированного компьютера. После запуска троян пытается получить в системе привилегии отладчика и внедриться в процесс "spoolsv.exe". Затем Trojan.Yaryar.1 отключает "Службу безопасности Windows", "Службу автоматического обновления" и "Брандмауэр Windows", после чего устанавливает соединение с удаленными серверами для выполнения загрузки и запуска на зараженном компьютере других файлов. Кроме того, троян перехватывает обращения к поисковой системе и производит перенаправления пользователя на сторонние веб-ресурсы. Антивирусные специалисты рекомендуют при обнаружении подозрительной интернет-активности провести диагностику и лечение доступными средствами.
Источник