Trojan.Janda модифицирует MBR и загружает вредоносную программу

Модификация загрузочной записи операционной системы, похоже, стала своего рода повальным увлечением среди вирусописателей. Так, совсем недавно компания «Доктор Веб» сообщала о появлении новой модификации Win32.Rmnet, сегодня же хотим обратить внимание пользователей на продолжающееся распространение еще одной вредоносной программы — Trojan.Janda, вносящей изменения в главную загрузочную запись (Master Boot record, MBR) в ОС Windows.

После своего запуска Trojan.Janda создает в папке установки Windows файл с именем fxsst.dll, создавая «конкуренцию» загрузке аналогичного файла, расположенного в подпапке %windir%\system32, и являющегося стандартной библиотекой легитимного модуля поддержки факсового сервиса (Fax Service).

При перезагрузке операционной системы наступает заключительная фаза заражения: от имени explorer.exe инфицируется загрузочная запись MBR и на первой дорожке диска размещается небольшая программа, предназначенная для скачивания файлов из Интернета (до добавления вирусной записи она эвристически детектировалась как DLOADER.Trojan), затем исходная троянская библиотека fxsst.dll удаляется.

На иллюстрации можно увидеть содержимое инфицированной первой дорожки жесткого диска:

При каждом последующем запуске системы этот даунлоудер сохраняется в корневую директорию диска под именем window и прописывается в ветке системного реестра, отвечающей за автоматический запуск приложений. После успешной загрузки он самоудаляется.

Во избежание заражения троянской программой Trojan.Janda рекомендуется установить на компьютере Dr.Web, а также своевременно обновлять базы и выполнять проверку дисков с помощью антивирусного сканера.