Subscribe feed

ВІРУСАЛОГІЯ: SillyFDC.BBX і ZipMal-J

9 снежня 2009

Кампанія Symantec апублікавала на гэтым тыдні 10 апісанняў шкоднасных праграм, праўда большасць з іх з'яўляюцца эўрыстыкамі для сямействаў вредоносов. Найболей небяспечным з'яўляецца чарвяк SillyFDC.BBX, які распаўсюджваецца на здымных носьбітах. Ён захоўвае сябе пад імёнамі %System%
egsvr.exe, %System%svchost .exe і %Windir%
egsvr.exe, а таксама ўсталёўвае некалькі сваіх модуляў у такія часткі аперацыйнай сістэмы як %System%28463 і %SystemDrive%DELLdriversR71579 і мадыфікуе рэестр для аўтазапуску ўсталяваных шкоднасных кампанент пад выглядам "Msn Messsenger" і "svchost Agent". Чарвяк таксама мадыфікуе рэестр для паніжэння налад бяспекі аперацыйнай сістэмы. Акрамя таго, вредонос звяртаецца да вонкавых сервераў за абнаўленнямі, а таксама запісвае свае копіі на сеткавыя кружэлкі і здымныя носьбіты.

Кампанія Sophos апублікавала ў сваім блогу тры апісанні шкоднасных праграм, з якіх найболей цікавай з'яўляецца траянец ZipMal-J. Справа ў тым, што ён убудоўваецца ў атакаваную сістэму на ўзроўні рэестру. Траянец уяўляе сабой бібліятэку  %Windows%snhol4k.dll і файл  %System%wdni.buo, запуск якіх забяспечваецца ў наступным запісе рэестру  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Shell Explorer.exe rundll32.exe wdni.buo nrufk. Убудаваўшыся такім спосабам у explorer.exe вредонос зніжае ўзровень налад сістэмы, які адказвае за бяспека. Траянец распаўсюджваецца праз спам у выглядзе файла utility.zip.

 


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100