26 ottobre 2012

Doctor Web — sviluppatore russo di software per la sicurezza informatica — informa della diffusione di un nuovo cavallo di troia, nominato Trojan.GBPBoot.1, che ha un interessante meccanismo di ripristino di sé stesso.

Trojan.GBPBoot.1 non è un malware molto evoluto, e le sue funzioni dannose sono assai limitate. Il trojan può scaricare dai server remoti sul computer locale e avviare file eseguibili e lanciare programmi non custoditi direttamente sul computer compromesso. Accanto a queste caratteristiche comuni il trojan vanta una capacità straordinaria: esso è molto resistente ai tentativi di rimozione.

Trojan.GBPBoot.1 è composto da più moduli. Il primo modulo modifica il Master Boot Record e registra alla fine di una partizione adatta del disco (al di fuori del file system) il programma di installazione del trojan, il suo modulo di ripristino automatico, un archivio con il file explorer.exe e un settore con i dati di configurazione. Di seguito, il programma di installazione virale viene messo nella cartella di sistema e avviato, e poi il dropper si elimina.

Dopo che è stato avviato il programma di installazione virale, esso salva nella cartella di sistema un file di configurazione e una libreria dinamica che viene registrata come uno servizio di sistema. Quindi il programma di installazione lancia questo servizio e si elimina.

A sua volta, il servizio malevolo carica il file di configurazione dalla cartella di sistema (o legge i dati di configurazione prima salvati sul disco dal dropper), stabilisce una connessione con il server remoto, vi trasferisce le informazioni sul sistema infettato e anche cerca di scaricare sul computer file eseguibili trasferiti dal server. Se il trojan non ha potuto scaricare file eseguibili dal server, esso ristabilisce la connessione dopo il riavvio del sistema.

Qualora il file del servizio malevolo venga rimosso (per esempio, da un controllo antivirale), si attiva il meccanismo di ripristino automatico del trojan. Utilizzando il MBR modificato, il trojan verifica al momento di avvio del computer se il file del servizio malevolo sia presente sul disco. La procedura di verifica supporta i file system NTFS e FAT32. Se il file non è stato trovato, Trojan.GBPBoot.1 riscrive il file explorer.exe di sistema con il suo file explorer.exe munito di uno strumento di ripristino, e poi questo file si avvia automaticamente insieme al caricamento di Windows. Ottenuto il controllo, il file dannoso explorer.exe ripete la procedura di infezione del sistema, dopodiché recupera e lancia il file explorer.exe originario. Di conseguenza, una scansione del sistema eseguita da un antivirus non può liberare il computer da questo malware, perché il trojan è in grado di reinfettare il sistema dopo una pulitura.

Il software antivirus Dr.Web possiede meccanismi di rilevamento e di cura che possono eliminare Trojan.GBPBoot.1 dal computer e ripristinare il MBR, quindi i computer degli utenti dei nostri prodotti sono completamente protetti da questa minaccia.