Многокомпонентный буткит, написан на языке С, способен скрывать собственное присутствие в инфицированной системе. Включает 8 компонент, в том числе 3 драйвера.
Обладает функционалом антиотладки: при запуске проверяет, не загружен ли он в виртуальной машине, не используется ли в ОС приложение-отладчик. Проверяет наличие на инфицированном компьютере ряда приложений, используемых для осуществления биллинга в китайских интернет-кафе.
Компоненты:
- Инсталлятор
- Файл cp.exe
- Драйвер NtHook.sys
- Драйвер beep.sys
- Драйвер StartDriver
- Библиотека safemon.dll
- MBR
- Шелл-код, который подгружается в MBR
Функционал:
- Подмена стартовой страницы популярных браузеров на URL сайта, принадлежащего злоумышленникам;
- Осуществление http-редиректов;
- Загрузка и запуск различных исполняемых файлов;
- Сохранение ярлыков в Панели быстрого запуска Windows, в папке «Избранное» и на Рабочем столе;
- Запуск по расписанию обозревателя Microsoft Internet Explorer и открытие в нем принадлежащей злоумышленникам веб-страницы;
- Блокировка доступа к ряду веб-сайтов по заранее сформированному списку;
- Блокировка запуска некоторых приложений по заранее сформированному списку;
- Скрытие хранящихся на диске файлов;
- Заражение MBR.
Поддерживаемые браузеры и приложения:
- SERVICES.EXE
- EXPLORER.EXE
- IEXPLORE.EXE
- QQBROWSER.EXE
- SOGOUEXPLORER.EXE
- 360SE.EXE
- GREENBROWSER.EXE
- FIREFOX.EXE
- MAXTHON.EXE
- THEWORLD.EXE
- OPERA.EXE
- CHROME.EXE
- SAFARI.EXE
- NAVIGATOR.EXE
- TTRAVELER.EXE
- 115BR.EXE
- CORAL.EXE
Управляющий сервер располагается в Китае. Trojan.Xytets обладает развитым функционалом, позволяющим скрывать собственное присутствие в инфицированной системе, вследствие чего эту угрозу также можно отнести к категории руткитов.
