Virus.Win32. Saburex.a

Файловый вирус, заражающий исполняемые файлы Windows. Является библиотекой Windows DLL, имеет размер 17 920 байт.

Инсталляция

После запуска вирус копирует свой исполняемый файл в системный каталог Windows:

%System%\ole16.dll

После чего изменяет значения следующих параметров ключей реестра на:

[HKCR\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
 @ = "ole16.dll"
 ThreadingModel="both"

[HKLM\SOFTWARE\Classes\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
 @ = "ole16.dll"
 ThreadingModel="both"

Деструктивная активность

Вирус заражает файлы с расширением .exe на случайно выбранном разделе жесткого диска. Вирус не заражает файлы в папках, имена которых содержат следующие строки:

program files
documents and
_restore
music

При заражении вирус упаковывает тело заражаемого файла в архив CAB, после чего копирует свое тело поверх тела заражаемого файла, а упакованное тело последнего дописывает в конец. Точка входа в вирус и его заголовок при этом корректируется таким образом, что зараженный файл становится приложением Windows (PE-EXE файл) и является запускаемым.

При запуске зараженного файла тело вируса выделяется и корректируется в библиотеку DLL и в таком виде сохраняется во временную папку Windows с временным именем. После этого запускается процесс : rundll32 %Temp%\<временное имя DLL-файла>,a <путь и имя запущенного файла>

После этого вирусный компонент удаляет свое тело из зараженного файла и распаковывает запакованное в CAB архив тело программы, тем самым полностью восстанавливает его в исходное состояние и запускает.

Вирус извлекает во временную папку с временным именем библиотеку DLL (размер 7168 байт). Также просматривает все окна на рабочем столе пользователя и внедряет в процессы, которым принадлежат эти окна, извлеченную DLL.

Извлеченная библиотека DLL будучи подгруженной к какому-либо процессу периодически делает скриншоты активного окна в системе, после чего шифрует их и публикует на сайте x***e.ru.