Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Trojan.Gapz.1 infetta Windows in un modo nuovo

12 novembre 2012

Nel laboratorio antivirale di Doctor Web — sviluppatore russo dei software per la sicurezza informatica — è pervenuto un campione di un malware che ha funzioni di bootkit e può nascondere la sua presenza nel sistema operativo. Questo programma, inserito nelle basi di dati dei virus con il nome di Trojan.Gapz.1, utilizza metodi di infezione molto particolari. Uno degli scopi del rootkit è creare sul PC infetto un ambiente per caricare i suoi moduli che realizzano diverse funzioni.

Trojan.Gapz.1 è in grado di funzionare sui sistemi Windows a 32 e a 64 bit. Nel corso dell’infezione il trojan verifica quale versione del sistema operativo sia installata sul computer bersaglio. La sua procedura di installazione varia a seconda del tipo di piattaforma. Il trojan è in grado di sfruttare vulnerabilità di alcuni componenti del sistema operativo per poi eseguire un codice generato in un modo speciale - questa è una funzione molto rara nelle minacce di questo tipo.

Sfruttando le vulnerabilità del sottosistema grafico di Windows, l’installer del bootkit cerca di aggirare l’UAC - il controllo degli account che previene l’avvio non autorizzato di file eseguibili. Un fatto interessante è che una tecnologia simile (l’uso del tipo di carattere Dexter Regular preparato in modo speciale) è stata applicata nel passato dal noto malware Trojan.Duqu esaminato in dettaglio da varie società di sicurezza informatica.

In seguito Trojan.Gapz.1 analizza la struttura del disco rigido del computer bersaglio, genera un’immagine speciale e la salva nei settori riservati del disco. Quindi il trojan modifica un campo nel settore di avvio del disco affinché il bootloader carichi e avvii il programma malevolo.

Il rootkit Trojan.Gapz.1 è in realtà il nucleo di un malware complesso, il cui compito principale è creare un ambiente adatto per caricare gli altri componenti del trojan. Durante l’avvio, Trojan.Gapz.1 carica dal disco la sua immagine binaria che comprende alcuni moduli e i dati di configurazione. I moduli sono blocchi di codice appositamente assemblato. Quando eseguito, questo codice interagisce con le API del rootkit. I fini e le funzioni dei moduli non ci sono ancora del tutto chiari. Sappiamo già che uno dei moduli è capace di stabilire la connessione con il server remoto per scaricarne file eseguibili sul computer infetto. Per esempio, abbiamo osservato il download di un’applicazione malevola studiata per comunicare con il sistema di pagamento UCash.

Al momento continuiamo ad analizzare le caratteristiche di Trojan.Gapz.1. La possibilità di curare quest’infezione è stata aggiunta ai programmi antivirali Dr.Web, quindi questo rootkit non rappresenta una seria minaccia per i nostri utenti.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A