Вредоносная программа включает в себя восемь функциональных модулей: инсталлятор, три драйвера, динамическую библиотеку и ряд вспомогательных компонентов. Эксперты компании «Доктор Веб» обнаружили новую троянскую программу, которая инфицирует загрузочную запись жесткого диска компьютера. Главной целью угрозы является перенаправление жертвы на указанные авторами трояна web-сайты посредством использования ее браузера. По сообщениям специалистов, Trojan.Xytets была создана в Китае. Она включает в себя восемь функциональных модулей: инсталлятор, три драйвера, динамическую библиотеку и ряд вспомогательных компонентов.
После запуска на системе потенциальной жертвы, троянская программа проверяет, не загружена ли она в виртуальной машине и не используется ли на атакованном компьютере откладчик. В случае, когда эти приложения присутствуют на системе, троянец сообщает об этом удаленному серверу и завершает свою работу.
При заражении компьютера жертвы Trojan.Xytets сохраняет на диске и регистрирует в реестре два драйвера, выполняющих определенные функции трояна. Помимо этого, вредоносная программа также запускает собственный брандмауэр, который перехватывает отправляемые с инфицированного компьютера IP-пакеты. Брандмауэр также препятствует посещению пользователем некоторых web-сайтов, список которых прописан в конфигурационном файле. При этом файлы трояна и вредоносные драйверы сохраняются на диск дважды: в файловой системе и в конце раздела жесткого диска.
В «Доктор Веб» отмечают, что один из драйверов вредоносной программы проверяет процессы, которые запускаются на инфицированной системе, и блокирует запуск тех, которые могут помешать ее работе.
Trojan.Xytets скрывает некоторые файлы, хранящиеся на диске, и перезаписывает главную загрузочную запись, что позволяет ему получить управление в процессе загрузки операционной системы.
Информация, которую троянская программа передает на расположенный в Китае сервер злоумышленников, включает данные об инфицированном компьютере, о версиях операционной системы и самого трояна.