Зайцев Олег
02.08.2005, 10:59
Trojan-Dropper.VBS.Inor.cq является классическим представителем категории Trojan-Dropper. Он представляет собой html файл размером около 18 кб, содержащий скрипт на языке VBScript. Скрипт обладает элементарной защитой от обнаружения эвристическими средствами - в нем применяется Scripting.FileSystemObject и WScript.Shell, но в коде для них заведено две текстовых переменных, в которых формируются эти два имени рутем конкантенации фрагментов строк, например
"Script"+"ing"+"."+"Fil" .... Переменные имеют несмысловые имена, явно для затруднения идентификации - судя по всему они генерируются случайным образом.
В теле скрипта есть переменная длиной 17408 байта - в ней хранится EXE файл, каждый байт файла предствален в шеснадцатиричном виде:
gtzugH="4d5a900003 .....
Логика работы скрипта простейшая - в папке Temp он создает файл с именем 7fe28312.exe и в цикле побайтно записывает туда данные из переменной gtzugH, после чего полученный файл запускается. Собственно, на этом работа этого Trojan-Dropper завершается (после запуска в System32 можно обнаружить 7fe28312.exe и svhost.exe, они прописаны на автозапуск. Это вирус Virus.Win32.Bube.l, он заражает explorer.exe (и его копию в dllcache).
"Script"+"ing"+"."+"Fil" .... Переменные имеют несмысловые имена, явно для затруднения идентификации - судя по всему они генерируются случайным образом.
В теле скрипта есть переменная длиной 17408 байта - в ней хранится EXE файл, каждый байт файла предствален в шеснадцатиричном виде:
gtzugH="4d5a900003 .....
Логика работы скрипта простейшая - в папке Temp он создает файл с именем 7fe28312.exe и в цикле побайтно записывает туда данные из переменной gtzugH, после чего полученный файл запускается. Собственно, на этом работа этого Trojan-Dropper завершается (после запуска в System32 можно обнаружить 7fe28312.exe и svhost.exe, они прописаны на автозапуск. Это вирус Virus.Win32.Bube.l, он заражает explorer.exe (и его копию в dllcache).