После своего запуска Trojan.Janda создает в папке установки Windows файл с именем fxsst.dll, создавая «конкуренцию» загрузке аналогичного файла, расположенного в подпапке %windir%\system32, и являющегося стандартной библиотекой легитимного модуля поддержки факсового сервиса (Fax Service).
При перезагрузке операционной системы наступает заключительная фаза заражения: от имени explorer.exe инфицируется загрузочная запись MBR и на первой дорожке диска размещается небольшая программа, предназначенная для скачивания файлов из Интернета (до добавления вирусной записи она эвристически детектировалась как DLOADER.Trojan), затем исходная троянская библиотека fxsst.dll удаляется.
На иллюстрации можно увидеть содержимое инфицированной первой дорожки жесткого диска:
При каждом последующем запуске системы этот даунлоудер сохраняется в корневую директорию диска под именем window и прописывается в ветке системного реестра, отвечающей за автоматический запуск приложений. После успешной загрузки он самоудаляется.
Нужны комплексные системы защиты ксзи? Обратитесь к нам!