Нов троянски конвъзстановява се след изтриване"

изтриване
От гледна точка на злонамерените действия, извършвани от това троянско приложение, Trojan.GBPBoot.1 може да се счита за относително примитивен вирус: той е способен да изтегля изпълними файлове от външни сървъри и да ги изпълнява на заразения компютър по команда или да стартира приложения, които не се съхраняват директно на компютъра на жертвата. Тук деструктивната функционалност на троянското приложение свършва. Въпреки това, тази помощна програма е интересна преди всичко, защото може да противодейства на опитите за премахването й.

Според антивирусната компания Doctor Web Trojan.GBPBoot.1 включва няколко модула. Един от тях редактира MBR (главния зареждащ запис на диска) и след това копира в края на желания логически диск (извън файловата система) архива с файла explorer.exe, модула за автоматично възстановяване на троянското приложение, модула за инсталиране на вируси и сектора с информация за конфигурацията. След това поставя програмата за инсталиране на вируси в системната директория, активира я и изтрива собствения си файл.

След

След стартиране инсталаторът на вируси записва конфигурационен файл и динамична библиотека в системната директория, която регистрира в Windows като системна услуга. След това инсталаторът активира тази услуга и се премахва.

На свой ред злонамерената услуга изтегля конфигурационен файл, предварително записан в системната директория (или чете конфигурационния файл, записан преди това от капкопера на диск), свързва се с отдалечен сървър, изпраща му информация за заразения компютър и се опитва да качи на заразения компютър и се опитва да изтегли изпълними файлове от сървъра. Ако изтеглянето е неуспешно, след следващото рестартиране на Windows се стартира повторно свързване.