Марат-блог
Услуги по продвижению и разработке сайта
Отправить заявку
Заказать обратный звонок

Спасибо, Ваша заявка принята.

В ближайшее время менеджер свяжется с Вами.

Главная Новости Осторожно - Trojan.Janda модифицирует MBR
Осторожно - Trojan.Janda модифицирует MBR
33
02 июля 2011

Осторожно - Trojan.Janda модифицирует MBR

После своего запуска Trojan.Janda создает в папке установки Windows файл с именем fxsst.dll, создавая «конкуренцию» загрузке аналогичного файла, расположенного в подпапке %windir%\system32, и являющегося стандартной библиотекой легитимного модуля поддержки факсового сервиса (Fax Service).

При перезагрузке операционной системы наступает заключительная фаза заражения: от имени explorer.exe инфицируется загрузочная запись MBR и на первой дорожке диска размещается небольшая программа, предназначенная для скачивания файлов из Интернета (до добавления вирусной записи она эвристически детектировалась как DLOADER.Trojan), затем исходная троянская библиотека fxsst.dll удаляется.

На иллюстрации можно увидеть содержимое инфицированной первой дорожки жесткого диска:

Trojan.Janda

При каждом последующем запуске системы этот даунлоудер сохраняется в корневую директорию диска под именем window и прописывается в ветке системного реестра, отвечающей за автоматический запуск приложений. После успешной загрузки он самоудаляется.

Нужны комплексные системы защиты ксзи? Обратитесь к нам!