"多克维普"公司,俄罗斯信息安全产品厂商,通报一种新的多组件bootkit--有害应用程序正在传播,它能感染电脑硬盘引导记录。在多克维普病毒库中这种威胁的名字是Trojan.Xytets,它的主要作用是使用受害者的浏览器把受害者引导到病毒编写者指定的网页。
有害程序Trojan.Xytets产生于中国,它由八个功能模块组成:安装程序,三个驱动程序,动态库和一系列辅助组件。木马病毒在操作系统启动后,将会检查它是否已经安装到虚拟计算机,被攻击的电脑上是否应用了调试程序--如果证实存在类似应用程序,Trojan.Xytets就会通报给远程指令中心并开始运行。甚至还可以检查在被感染的系统中是否存在一些中国网吧评定等级和计费的应用程序,--检查的结果还可以报告给服务器。然后木马将引爆感染被攻击电脑的过程。
在感染的过程中,Trojan.Xytets会把实现有害程序不同功能的两个驱动程序保存在磁盘上,并在目录中注册,甚至启动自己的防火墙,拦截从被感染的电脑上发送的IP包。不允许用户访问专门的配置文件中保存的清单中的网页。同时,木马文件和有害驱动程序在磁盘上保存两次:保存在文件系统和磁盘分区边缘。即使删除了这些文件(这也不是毫无新意的方法,因为木马隐藏了自己的文件),它们将在下次启动Windows时自动恢复。
此外,其中的一个驱动程序跟踪被感染系统中启动的程序,并判断它们对于木马的危险程度。同时Trojan.Xytets可以使那些能够妨碍其运行的程序不能启动。另外,Trojan.Xytets还有删除某些防病毒软件驱动程序通知的功能,--结果,防病毒软件对木马引爆的有害程序的启动不再反应。木马病毒把用户的浏览器链接到配置文件保存的清单中的网页。Trojan.Xytets支持的浏览器有--Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari, Maxthon, QQBrowser, GreenBrowser等等。
然后木马隐藏保存在磁盘上的一系列文件,并修改主引导记录,以至于在操作系统启动过程中被有害程序控制。此外,Trojan.Xytets具有非常健全的功能,能够掩饰自己在被感染系统中的存在,因此这种威胁甚至可以列入roonkit范畴。
在与位于中国的控制服务器交换数据的过程中,Trojan.Xytets向非法用户传递被感染电脑的信息、操作系统的版本和有害程序本身的版本。根据Trojan.Xytets在用户浏览器上展示的网页的内容来判断,它的目标人群是中国居民。
Trojan.Xytets的运行能力包括以下几个方面:
* 把流行的浏览器主页替换为非法用户网站的URL;
* 实现http地址修改;
* 加载并启动各种执行文件;
* 将含有非法用户网站链接的图标保存到Windows快速启动栏、收藏夹和桌面,--用鼠标点击这种图标相应的网页就会在浏览器中打开;
* 根据浏览器运行时间表启动Microsoft Internet Explorer,并打开非法用户的网页;
* 阻止访问预先编好的目录中的一些网站;
* 阻止启动预先编好的目录中的一些应用程序;
* 隐藏保存在磁盘上的文件;
* 感染MBR(主引导记录)。
该威胁的特征已经添加到Dr.Web病毒库中,因此Trojan.Xytets对于Dr.Web软件产品的用户来说不是严重的威胁。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments