пятница, 24 апреля 2009 г.

Virus.Win32.Virut.av

Имя файла: NOTEPAD.EXE
Размер: 74.50 Kb
Date/Time Stamp(GMT): 04.08.2004 6:05
http://www.virustotal.com/ru/analisis/40352a18cbc7be8d8c17ef4c670cb7c7
http://www.threatexpert.com/report.aspx?md5=127c54b4211f076ef745788acbd3bdaa
Обычный блокнот заражен вирусом Virut. Размер файла увеличился на 7 Кб. Увеличение за счет расширения последней секции файла, в данном случаи секции ресурсов. Переход на добавленный код сразу на точке входа. Сначала вирус расшифровывает свое тело, затем создает мэпируемую секцию “SectVirtu”, добавляет себе отладочные права, перебирает процессы в системе, затем к пятому по счету процессу (winlogon.exe), мэпируется созданная секция и делает инжект (CreateRemoteThread). В новом потоке производится запись в файл “C:\WINDOWS\system32\DRIVERS\ETC\HOSTS” строки “127.0.0.1 NtKrnlpa.info”. Из ветки “SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer” читает ключ TargetHost. Затем в ветку "SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" добавляется исключение для встроенного фаервола.
Затем идет запрос на командный сервер "proxim.ntkrnlpa.info"

1 комментарий:

Анонимный комментирует...

А знаете ли вы что, если вам вдруг потребуется заблокировать какой-либо сотовый телефон или другое средство связи, то попробуйте воспользоваться для этого Блокиратор сотовых.