пятница, 6 февраля 2009 г.

Virus.Win32.Virut.ce

Имя файла: tcflash.exe
Размер: 30,5 Кб
Time/Date Stamp (GMT): 24 сентября 2007 г. 13:42:46
http://www.virustotal.com/ru/analisis/77f189044d56330a199c4b20eb25f161
Файл заражен путем расширения последний секции. Переход на добавленный код осуществляется не сразу на точке входа, а спустя некоторое число команд. Код разбавлен мусором и зашифрован. После расшифровки программа ищет базу kernall32.dll затем, по заданным хешам, ищутся нужные API функции. После этого перебираются процессы в системе, пропуская четыре первых и попадая на процесс winlogon.exe, далее производится инжект с помощью CreateRemoteThread. А вот сам код попадает в процесс winlogon.exe с помощью мэпирования секции (ZwMapViewOfSection). Далее программа копирует в процесс адреса нужных API функций.
В инжектированном коде открывается файл “Windows\System32\Drivers\ETS\HOST” и записывается туда строка “127.0.0.1 ZieF.pl”. Прописывает процесс winlogon.exe в исключения внутреннего брандмауэра. Командный центр находится по адресу http://ZieF.pl/, по адресу http://ZieF.pl/rc/ можно скачать PDF эксплоит.
Управление осуществляется по IRC.
2009, GMax
e_gmax@mail.ru

Комментариев нет: