Новый троян-загрузчик Yaryar подружился с файловой системой NTFS

Сегодня стало известно о распространении трояна Trojan.Yaryar (речь идет об одном из вариантов трояна ZeroAccess (Max++) aka Sirefef). Одна из характерных особенностей данного трояна-лоадера заключается в том, что он умеет работать непосредственно со структурами NTFS, а также обладает обширным функционалом по выявлению средств отладки и анализа.

Механизм распространения этого трояна пока до конца не исследован, зато изучен алгоритм его поведения в инфицированной системе. Вредоносная программа состоит из двух модулей: установщика и загрузчика, оба компонента написаны на языке С++. Отличительной особенностью Trojan.Yaryar, выделяющей его в ряду других троянов-загрузчиков, является то, что он обладает собственным алгоритмом работы со структурами файловой системы NTFS. Модуль установки трояна сохраняет загрузчик на диск в виде динамической библиотеки со случайным именем, после чего пытается загрузить ее с использованием библиотеки «cryptsvc.dll», в которую предварительно внедряет специальный двоичный исполняемый код.

Троян Trojan.Yaryar обладает мощным функционалом по выявлению средств отладки и анализа, и в случае обнаружения таковых удаляет себя с инфицированного компьютера. После запуска троян пытается получить в системе привилегии отладчика и внедриться в процесс «spoolsv.exe». Затем Trojan.Yaryar.1 отключает «Службу безопасности Windows», «Службу автоматического обновления» и «Брандмауэр Windows», после чего устанавливает соединение с C&C серверами для выполнения загрузки и запуска на зараженном компьютере других файлов.

Кроме того, троян обладает функциями подмены выдачи поисковиков, то есть перехватывает обращения к поисковой системе и производит перенаправления на заранее заданные сайты.