Энциклопедия компьютерных вирусов

         

Заражение компьютера


Червь заражает всего около 40 файлов на компьютере, при этом заражает не более четырех файлов при каждом запуске. Червь заражает следующие файлы в каталоге Windows:

NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE, SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE, USRMGR.EXE

Затем червь заражает программы, которые связаны со следующими ключами реестра:

SOFTWARE\Classes\Access.Application.8 \shell\open\command SOFTWARE\Classes\AudioCD \shell\play\command SOFTWARE\Classes\AVIFile \shell\play\command SOFTWARE\Classes\cdafile \shell\play\command SOFTWARE\Classes\Chat \shell\open\command SOFTWARE\Clients\News\Forte Агент \shell\open\command SOFTWARE\Classes\Excel.Sheet.8 \shell\open\command SOFTWARE\Classes\ftp \shell\open\command SOFTWARE\Classes\giffile \shell\open\command SOFTWARE\Classes\hlpfile \shell\open\command SOFTWARE\Classes\Eudora \DefaultIcon SOFTWARE\Classes\Eudora \shell\open\command SOFTWARE\Classes\Microsoft Internet Mail Message \shell\open\command SOFTWARE\Classes\Microsoft Internet News Message \shell\open\command SOFTWARE\Classes\MOVFile \shell\open\command SOFTWARE\Classes\Msi.Package \shell\open\command SOFTWARE\Classes\pcANYWHERE32 \shell\open\command SOFTWARE\Classes\QuickView \shell\open\command SOFTWARE\Classes\RealPlayer.RAM.6 \shell\open\command SOFTWARE\Classes\Winamp.File \shell\open\command SOFTWARE\Classes\Unfinished Загружает \shell\open\command SOFTWARE\Classes\UltraEdit-32 Документ \shell\open\command SOFTWARE\Classes\Whiteboard \shell\open\command SOFTWARE\Classes\vcard_wab_auto_file \shell\open\command SOFTWARE\Ulead Systems\Ulead PhotoImpact\4.0\Path\IeEdit.exe SOFTWARE\KasperskyLab\Components\102\EXEName

При заражении каждого файла червь использует метод компаньон-инфекции: переименовывает файл-жертву в восьми-байтовое случайно сгенерированное имя с расширением .EXE (например: GTGUQPPA.EXE, XOHSKVXQ.EXE, и т.п.) и копирует свой код вместо заражаемого файла (замещает его). В результате копия червя будет выполняться всякий раз, когда пользователь или система выполняет зараженный файл.

Для того, чтобы возвратить управление обратно исходному файлу, червь сохраняет имена файлов в ключе реестра HKCU\AppEvents\Schemes\Apps\.Default\SystemStart\Windows, например:

C:\WIN95\calc.exe "gtguqppa.exe" C:\WIN95\mplayer.exe "xohskvxq.exe" и т.п.

Эта информация может использоваться для лечения компьютера.

Чтобы не заражать файлы дважды, червь проверяет переменную FileVersion, которая хранится в файловых ресурсах PE EXE-файлов. В зараженных файлах эта переменная равна "1.3.5.7".



Содержание раздела