На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Dropper

Trojan-Dropper.VBS.Inor.cq


Rootkit:  Нет

Trojan-Dropper.VBS.Inor.cq является классическим представителем категории Trojan-Dropper.
Он представляет собой html файл размером около 18 кб, содержащий скрипт на языке VBScript.
Скрипт обладает элементарной защитой от обнаружения эвристическими средствами - в нем применяется Scripting.FileSystemObject и WScript.Shell, но в коде для них заведено две текстовых переменных, в которых формируются эти два имени путем конкантенации фрагментов строк, например

"Script"+"ing"+"."+"Fil" .... 
Переменные имеют несмысловые имена, явно для затруднения идентификации - судя по всему они генерируются случайным образом.

В теле скрипта есть переменная длиной 17408 байта - в ней хранится EXE файл, каждый байт файла предствален в шеснадцатиричном виде:

gtzugH="4d5a900003 .....
Логика работы скрипта простейшая - в папке Temp он создает файл с именем 7fe28312.exe и в цикле побайтно записывает туда данные из переменной gtzugH, после чего полученный файл запускается.

Собственно, на этом работа этого Trojan-Dropper завершается (после запуска в System32 можно обнаружить 7fe28312.exe и svhost.exe, они прописаны на автозапуск. Это вирус Virus.Win32.Bube.l, он заражает explorer.exe (и его копию в dllcache).

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.