Le 26 octobre 2012

Doctor Web annonce la propagation du Trojan.GBPBoot.1, comportant un mécanisme particulier d’auto-restauration.

Vu ses fonctions malveillantes, on aurait pu croire que c'est un trojan assez primitif: il est capable de télécharger et de lancer sur l'ordinateur infecté des fichiers exécutables et des programmes malveillants se trouvant sur un serveur distant et non sur le PC infecté. Mais ce qui nous intéresse, c’est sa particularité, puisqu’il est capable de lutter contre sa suppression.

Le Trojan.GBPBoot.1 possède plusieurs modules. Le premier infecte le MBR puis sauvegarde son module installateur, son module d'auto-restauration, une archive avec un fichier explorer.exe et ses données de configuration. Ensuite, il sauvegarde une copie de l'installateur dans le dossier système, lance cette copie et supprime le fichier 'installateur de départ.

Suite à son lancement, l'installateur sauvegarde un fichier de configuration et une bibliothèque dynamique dans le dossier système, il enregistre la bibliothèque en tant que service système. Ensuite l'installateur lance ce service et s'auto-supprime.

Le service système créé par l'installateur lance un fichier de configuration (où lit les données de configuration déjà enregistrées sur le disque par un dropper), établit une connexion avec le serveur distant et lui envoie les données de l'OS infecté puis cherche à télécharger des fichiers exécutables depuis le serveur. Si le téléchargement échoue, le trojan cherche à les télécharger de nouveau suite au redémarrage de l'OS.

Si le fichier de service système est supprimé (par exemple lors du scan antivirus), le mécanisme d'auro-restauration s'active. En utilisant le MBR infecté, lors du démarrage du PC, le trojan lance une procédure de recherche de fichiers de service système: les fichiers NTFS et FAT32. Si aucun de ces fichiers n'est détecté, le Trojan.GBPBoot.1 écrase le fichier explorer.exe avec un ficher à lui, qui contient un mécanisme d'auto-restauration, le trojan sera alors lancé en même temps que l'OS Windows. Ainsi, le processus explorer.exe infecté recontamine le PC puis restaure et lance le processus explorer.exe non infecté. Ainsi le scan de l'OS par un antivirus ne sera pas toujours efficace car le trojan pourra se restaurer.

Le logiciel Dr.Web prévoit un mécanisme de traitement de cette menace qui permet notamment de traiter le MBR infecté, pour cette raison Trojan.GBPBoot.1 n'est pas dangereux pour les utilisateurs Dr.Web.