Недавно, мы уже писали о троянце Win32.Rmnet, который способен заражаться в главную загрузочную область жесткого диска и модифицировать последнюю. Но кажется, что модификация загрузочной записи операционной системы, становится своего рода повальным увлечением среди вирусописателей. Сегодня мы хотим обратить внимание пользователей на зафиксированное распространение еще одной вредоносной программы — Trojan.Janda, вносящей изменения в главную загрузочную запись (Master Boot record, MBR) в операционных системах Windows. После своего запуска, троянец Trojan.Janda создает в папке установки Windows файл с именем fxsst.dll, создавая «конкуренцию» загрузке аналогичного файла, расположенного в подпапке %windir%\system32, и являющегося стандартной библиотекой легитимного модуля поддержки факсового сервиса (Fax Service). После перезагрузки операционной системы наступает заключительная фаза заражения: от имени explorer.exe инфицируется загрузочная запись MBR и на первой дорожке диска размещается небольшая программа, предназначенная для скачивания файлов из Интернета. Затем исходная троянская библиотека fxsst.dll удаляется. При каждом последующем запуске системы этот даунлоудер сохраняется в корневую директорию диска под именем window и прописывается в ветке системного реестра, отвечающей за автоматический запуск приложений. После успешной загрузки он самоликвидируется. До обнаружения и добавления в вирусные базы Dr.Web, она эвристически детектировалась как DLOADER.Trojan.