Virus.Win32. VB.cx

Вредоносная программа, которая находит и заражает исполняемые файлы на компьютере пользователя.

Вредоносная программа, которая находит и заражает исполняемые файлы на компьютере пользователя. Является приложением Windows (PE EXE-файл). Написана на Visual Basic. Ничем не упакована. Размер оригинального вредоносного файла — 348160 байт.

Инсталляция

После запуска выполняется создание копий файла вируса c идентичным оригинальному именем (оригинальное должно быть с расширением .exe) в корневом, системном и временном каталогах Windows:

 %WinDir%\%VirName%.exe
 %System%\%VirName%.exe
 %Temp%\%VirName%.exe
 

Также вирус добавляет ссылку на свою копию в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"mab" = "%System%\%VirName%.exe"

Деструктивная активность

После инсталляции происходит поиск всех файлов в корневых каталогах на всех логических дисках в системе. В данных каталогах создаются копии исполняемого файла вируса под тем же именем, что и у оригинального файла, а содержимое найденных файлов с расширениями:

 .cpp
 .doc
 .htm
 .html
 .txt
 .xls
 

перезаписывается следующим текстом (размер 103 байта):

"Sorry!!!! $%%#@&re*$%$rthn#$^&&!f#&%$$f$#df#@^%$~`<:JHFgYttrt" "$%%%7``0924ksh<:{[86#$36455hgf#$45"

Если сканирование диска было окончено, оно повторяется через 5 секунд после завершения.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.