 |
 |
 |
|
|
|
Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan-Dropper
Trojan-Dropper.VBS.Inor.cqTrojan-Dropper.VBS.Inor.cq является классическим представителем категории Trojan-Dropper.Он представляет собой html файл размером около 18 кб, содержащий скрипт на языке VBScript. Скрипт обладает элементарной защитой от обнаружения эвристическими средствами - в нем применяется Scripting.FileSystemObject и WScript.Shell, но в коде для них заведено две текстовых переменных, в которых формируются эти два имени путем конкантенации фрагментов строк, например "Script"+"ing"+"."+"Fil" ....Переменные имеют несмысловые имена, явно для затруднения идентификации - судя по всему они генерируются случайным образом. В теле скрипта есть переменная длиной 17408 байта - в ней хранится EXE файл, каждый байт файла предствален в шеснадцатиричном виде: gtzugH="4d5a900003 .....Логика работы скрипта простейшая - в папке Temp он создает файл с именем 7fe28312.exe и в цикле побайтно записывает туда данные из переменной gtzugH, после чего полученный файл запускается. Собственно, на этом работа этого Trojan-Dropper завершается (после запуска в System32 можно обнаружить 7fe28312.exe и svhost.exe, они прописаны на автозапуск. Это вирус Virus.Win32.Bube.l, он заражает explorer.exe (и его копию в dllcache). |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| (С) Зайцев О.В.
2003-2022 |
При использовании любых материалов данного сайта необходимо указывать источник информации. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
