Многокомпонентный троянец-руткит. Способен работать как в 32-битных, так и в 64-битных версиях ОС Windows. Процесс инсталляции буткита запускается шелл-кодом, созданным с применением специальной техники (Return-oriented programming), выполняющимся в контексте процесса explorer.exe. При этом Trojan.Gapz.1 эксплуатирует недокументированный функционал, реализованный в обработчике событий интерфейса.
Помимо этого, инсталлятор буткита осуществляет попытки обхода механизма UAC, эксплуатируя две уязвимости: первая связана с неправильной обработкой ключа реестра при выполнении функции EnableEUDC, вторая - уязвимость графической подсистемы (использование специально подготовленного шрифта Dexter Regular).
Trojan.Gapz.1 анализирует структуру жесткого диска инфицируемого компьютера, определяет системный раздел, формирует специальный бинарный образ и размещает его в зарезервированных секторах диска. После этого троянец модифицирует всего лишь одно поле в BOOT-секторе и таким образом заставляет системный загрузчик вместо продолжения VBR подгрузить и исполнить вредоносный код. При этом главная загрузочная запись (Master Boot Record, MBR) остается неизменной.
Руткит Trojan.Gapz.1 — это ядро сложной вредоносной программы, основная задача которой заключается в том, чтобы создать подходящую среду для загрузки других компонентов троянца, содержащихся в загружаемом с диска бинарном образе. Эти модули представляют собой блоки специальным образом собранного кода, который в процессе своего выполнения взаимодействует с собственным API руткита.
