Показано с 1 по 1 из 1.

Virus.Win32.Saburex.a

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795

    Virus.Win32.Saburex.a

    По Ташкенту гуляет файловый вирус Virus.Win32.Saburex.a, который достаточно быстро распространяется.

    Описание:

    Файловый вирус, заражающий исполняемые файлы Windows. Является библиотекой Windows DLL, имеет размер 17 920 байт.

    Инсталляция

    После запуска вирус копирует свой исполняемый файл в системный каталог Windows:

    %System%\ole16.dll

    После чего изменяет значения следующих параметров ключей реестра на:

    [HKCR\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
    @ = "ole16.dll"
    ThreadingModel="both"

    [HKLM\SOFTWARE\Classes\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
    @ = "ole16.dll"
    ThreadingModel="both"

    Деструктивная активность

    Вирус заражает файлы с расширением .exe на случайно выбранном разделе жесткого диска. Вирус не заражает файлы в папках, имена которых содержат следующие строки:

    program files
    documents and
    _restore
    music

    При заражении вирус упаковывает тело заражаемого файла в архив CAB, после чего копирует свое тело поверх тела заражаемого файла, а упакованное тело последнего дописывает в конец. Точка входа в вирус и его заголовок при этом корректируется таким образом, что зараженный файл становится приложением Windows (PE-EXE файл) и является запускаемым.

    При запуске зараженного файла тело вируса выделяется и корректируется в библиотеку DLL и в таком виде сохраняется во временную папку Windows с временным именем. После этого запускается процесс : rundll32 %Temp%\<временное имя DLL-файла>,a <путь и имя запущенного файла>

    После этого вирусный компонент удаляет свое тело из зараженного файла и распаковывает запакованное в CAB архив тело программы, тем самым полностью восстанавливает его в исходное состояние и запускает.

    Вирус извлекает во временную папку с временным именем библиотеку DLL (размер 7168 байт). Также просматривает все окна на рабочем столе пользователя и внедряет в процессы, которым принадлежат эти окна, извлеченную DLL.

    Извлеченная библиотека DLL будучи подгруженной к какому-либо процессу периодически делает скриншоты активного окна в системе, после чего шифрует их и публикует на сайте x***e.ru.

    Можно также читать здесь http://www.viruslist.com/ru/viruses/...virusid=145656.

  2. Реклама
     

Похожие темы

  1. Ответов: 3
    Последнее сообщение: 17.08.2011, 15:49
  2. Усложнения после Virus.win32.sality.aa и Trojan-Downloader.Win32.ahoe
    От Visual Basic 6.0 в разделе Помогите!
    Ответов: 18
    Последнее сообщение: 05.11.2009, 21:54
  3. Ответов: 1
    Последнее сообщение: 26.02.2009, 14:29
  4. win32.Saburex
    От nmk2002 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 30.06.2007, 15:07
  5. Ответов: 13
    Последнее сообщение: 13.09.2006, 14:14

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01018 seconds with 18 queries