Обнаружен новый китайский буткит Xytets

Сегодня стало известно о распространении нового многокомпонентного буткита под названием Xytets, способного заражать загрузочную запись жесткого диска. Основное предназначение данной угрозы — перенаправление жертвы с использованием ее браузера на указанные вирусописателями страницы.

Xytets разработана в Китае и состоит из 8 функциональных модулей: инсталлятора, трех драйверов, динамической библиотеки и ряда вспомогательных компонентов. Запустившись в ОС, буткит проверяет, не загружен ли он в виртуальной машине и не используется ли на атакованном компьютере отладчик — если наличие подобных приложений подтверждается, Xytets сообщает об этом удаленному C&C центру и завершает свою работу. Также осуществляется проверка на наличие в инфицированной системе ряда приложений, используемых для тарификации и биллинга в китайских интернет-кафе, — о результатах этой проверки также сообщается серверу.

В ходе заражения Trojan.Xytets сохраняет на диске и регистрирует в реестре 2 драйвера, реализующих различные функции, а также запускает собственный брандмауэр, перехватывающий отправляемые с инфицированного компьютера IP-пакеты. Брандмауэр не пускает пользователя на некоторые веб-сайты, список которых хранится в специальном конфигурационном файле. Помимо этого, один из драйверов отслеживает запускаемые в инфицированной системе процессы и пытается определить их опасность для трояна. При этом Trojan.Xytets не позволяет запуститься тем процессам, которые могут помешать его работе.

Кроме того, Trojan.Xytets обладает функционалом, позволяющим удалять нотификаторы драйверов некоторых антивирусных программ, — в результате антивирусное ПО перестает реагировать на запуск инициированных троянцем вредоносных процессов. Троянец осуществляет перенаправление пользовательского браузера на сайты, список которых также хранится в конфигурационном файле. Среди поддерживаемых Trojan.Xytets браузеров — Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari, Maxthon, QQBrowser, GreenBrowser и некоторые другие.

Затем троян скрывает ряд хранящихся на диске файлов и перезаписывает главную загрузочную запись таким образом, что в процессе загрузки операционной системы вредоносная программа получает управление.