PDA

Просмотр полной версии : Описания вирусов: Trojan.Win32.LowZones.y



Зайцев Олег
02.08.2005, 16:16
Trojan.Win32.LowZones.y является типичным представителем категории "LowZones", постоянно выходят его новые разновидности. Типичный размер - 7-8 кб, как правило сжат UPX. Наиболее распространеннное (по моей статистике) имя файла - tool.exe.
Анализ проведен для образца, отловленного мной 07.06.2005 "в живой природе". Размер файла 7168, сжат UPX, распакованный размер 15872 байта. Написан он на Microsoft Visual C с применением MFС.
Внутри EXE файла содержится масса констант, хранящих имена ключей реестра, отвечающих за настройки безопасности InternetExplorer. Троян изменяет и создает эти ключи, в результате чего происходит перенастройка безопасности IE.
В частности, мой "подопытный" модифицировал реестр так, что сайты bestcounter.biz, windupdates.com, searchmiracle.com, xxxtoolbar.com оказывались в зоне "Надежные узлы" (он вносит туда штук двадцать сайтов, включая указанные выше) и переключает уровень безопасности этой зоны на "Низкий". В результате получается, что сайтам группы "Надежные узлы" разрешено все, поэтому вредоносное содержимое с сайтов типа xxxtoolbar.com сможет беспрепятсвенно проникать на ПК и устанавливаться на нем без всяких запросов и подтверждений.
После завершения модификации реестра данный троян остается в памяти, но в автозагрузку не прописывается