Virus.Win32.Bube.a

Троянская программа типа Trojan-Downloader, имеющая вирусную функцию заражения EXE-файлов. При запуске дважды копирует себя в системный каталог Windows: под текущим именем (может быть web.exe) и под именем soft.exe.

Virus.Win32.Bube.a («Лаборатория Касперского») также известен как: Trojan.Admincash (Symantec), Trojan.Unsecure (Doctor Web), Trj/Downloader.OZ (Panda), NewHeur_PE (Eset)

Троянская программа типа Trojan-Downloader, имеющая вирусную функцию заражения EXE-файлов. При запуске дважды копирует себя в системный каталог Windows: под текущим именем (может быть web.exe) и под именем soft.exe.

Программа добавляет в системный реестр следующие ключи:


[HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\run]
 "Web Service"="<путь к системному каталогу\

текущее имя>"

[HKCU\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\run]
 "run"="<путь к системному каталогу>\
soft.exe"

[HKCU\SOFTWARE\Microsoft\Windows\
CurrentVersion\run]
 "Web Service"="<путь к системному каталогу\
текущее имя>"

[HKEY_CURRENT_USER\Software\Microsoft\
Active Setup\Installed Components\
{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
 "StubPath"="<путь к системному каталогу>\
soft.exe" 

Отключив функцию восстановления системных файлов, выгружает процесс Explorer.exe («Проводник»). Программа находит его файлы на диске и заражает их, дописывая к ним свой код, после чего запускает процесс Explorer.exe вновь.

После заражения создает файл wininit.ini следующего содержания:

[rename] <путь к системному каталогу>\explorer.exe=<путь к системному каталогу>\explorer.new

Далее в системе действует уже зараженный процесс Explorer.exe. Его новая троянская часть отключает все уведомления встроенного межсетевого экрана, антивируса (WinXP SP2), обновления системы по сети (Windows Update) и производит постоянное, с интервалом 15 минут, скачивание зашифрованного файла commands.ini с адреса http://admin2cash.biz/<убрано из соображений безопасности>. В этом файле содержится список адресов других вирусов и троянов, которые незамедлительно скачиваются на компьютер-жертву.