Новий троянецьвідновлює себе після видалення »

З точки зору виконуваних цим троянським додатком шкідливих дій, Trojan.GBPBoot.1 можна визнати щодо примітивним вірусом: він здатний за командою завантажувати із зовнішніх серверів і запускати на зараженому комп'ютері виконувані файли або запускати програми, які не зберігаються безпосередньо на ПК жертви . У цьому деструктивний функціонал троянського докладання закінчується. Однак цікава дана утиліта насамперед тим, що здатна протидіяти спробам видалення.

Як повідомляє антивірусна компанія Доктор Веб, Trojan.GBPBoot.1 включає кілька модулів. Один з них редагує MBR (головний завантажувальний запис диска), після чого копіює в кінець потрібного логічного диска (поза файловою системою) архів з файлом explorer.exe, модуль автоматичного відновлення троянського додатка, модуль вірусного інсталятора та сектор конфігураційної інформації. Далі поміщає до системного каталогу інсталятор вірусу, активує його, а власний файл видаляє.

Після запуску інсталятор вірусу зберігає у системному каталозі файл конфігурації та динамічну бібліотеку, яку прописує Windows як системну службу. Після цього інсталятор активує цю службу та видаляє сам себе.

У свою чергу, шкідлива служба завантажує конфігураційний файл, збережений раніше в системному каталозі (або зчитує конфігурацію, збережену раніше дроппером на диск), з'єднується з віддаленим сервером, відправляє йому інформацію про заражений комп'ютер і намагається завантажити на інфікований ПК і намагається завантажити з сервера виконувані файли. Якщо завантаження не вдалося, повторне з'єднання запускається після наступного перезавантаження Windows.