Вредоносная программа, которая находит и заражает исполняемые файлы
Вредоносная программа, которая находит и заражает исполняемые файлы. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта.
В системном каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.
В системном реестре создается следующая запись:
Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск.
В теле вируса содержатся следующие строки:
Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.
name="doc3">Деструктивная активность |
При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.
В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.
После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует.
После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.
Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).
После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush» для определения своего присутствия в системе.
После чего выполняются следующие действия:
Вирус правильно обрабатывает файлы с атрибутом «только чтение». После заражения он восстанавливает начальные атрибуты файла.