Файловый вирус, заражающий исполняемые файлы Windows.
Инсталляция
После запуска вирус копирует свой исполняемый файл в системный каталог Windows:
%System%\ole16.dll
После чего изменяет значения следующих параметров ключей реестра на:
[HKCR\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@ = "ole16.dll"
ThreadingModel="both"
[HKLM\SOFTWARE\Classes\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@ = "ole16.dll"
ThreadingModel="both"
Деструктивная активность
Вирус заражает файлы с расширением .exe на случайно выбранном разделе жесткого диска. Вирус не заражает файлы в папках, имена которых содержат следующие строки:
program files
documents and
_restore
music
При заражении вирус упаковывает тело заражаемого файла в архив CAB, после чего копирует свое тело поверх тела заражаемого файла, а упакованное тело последнего дописывает в конец. Точка входа в вирус и его заголовок при этом корректируется таким образом, что зараженный файл становится приложением Windows (PE-EXE файл) и является запускаемым.
При запуске зараженного файла тело вируса выделяется и корректируется в библиотеку DLL и в таком виде сохраняется во временную папку Windows с временным именем. После этого запускается процесс : rundll32 %Temp%\<временное имя DLL-файла>,a <путь и имя запущенного файла>
После этого вирусный компонент удаляет свое тело из зараженного файла и распаковывает запакованное в CAB архив тело программы, тем самым полностью восстанавливает его в исходное состояние и запускает.
Вирус извлекает во временную папку с временным именем библиотеку DLL (размер 7168 байт). Также просматривает все окна на рабочем столе пользователя и внедряет в процессы, которым принадлежат эти окна, извлеченную DLL.
Извлеченная библиотека DLL будучи подгруженной к какому-либо процессу периодически делает скриншоты активного окна в системе, после чего шифрует их и публикует на сайте x***e.ru.
Гравитация научных фактов сильнее, чем вы думаете