Virus.Win32.Bube.a
Троянская программа типа Trojan-Downloader, имеющая вирусную функцию заражения EXE-файлов. При запуске дважды копирует себя в системный каталог Windows: под текущим именем (может быть web.exe) и под именем soft.exe.
Троянская программа типа Trojan-Downloader, имеющая вирусную функцию заражения EXE-файлов. При запуске дважды копирует себя в системный каталог Windows: под текущим именем (может быть web.exe) и под именем soft.exe.
Программа добавляет в системный реестр следующие ключи:
[HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\run]
"Web Service"="<путь к системному каталогу\
текущее имя>"
[HKCU\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\run]
"run"="<путь к системному каталогу>\
soft.exe"
[HKCU\SOFTWARE\Microsoft\Windows\
CurrentVersion\run]
"Web Service"="<путь к системному каталогу\
текущее имя>"
[HKEY_CURRENT_USER\Software\Microsoft\
Active Setup\Installed Components\
{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
"StubPath"="<путь к системному каталогу>\
soft.exe" Отключив функцию восстановления системных файлов, выгружает процесс Explorer.exe («Проводник»). Программа находит его файлы на диске и заражает их, дописывая к ним свой код, после чего запускает процесс Explorer.exe вновь.
После заражения создает файл wininit.ini следующего содержания:
[rename] <путь к системному каталогу>\explorer.exe=<путь к системному каталогу>\explorer.new
Далее в системе действует уже зараженный процесс Explorer.exe. Его новая троянская часть отключает все уведомления встроенного межсетевого экрана, антивируса (WinXP SP2), обновления системы по сети (Windows Update) и производит постоянное, с интервалом 15 минут, скачивание зашифрованного файла commands.ini с адреса http://admin2cash.biz/<убрано из соображений безопасности>. В этом файле содержится список адресов других вирусов и троянов, которые незамедлительно скачиваются на компьютер-жертву.