Virus.Win32.Bube.a

Virus.Win32.Bube.a («Лаборатория Касперского») также известен как: Trojan.Admincash (Symantec), Trojan.Unsecure (Doctor Web), Trj/Downloader.OZ (Panda), NewHeur_PE (Eset)

Троянская программа типа Trojan-Downloader, имеющая вирусную функцию заражения EXE-файлов. При запуске дважды копирует себя в системный каталог Windows: под текущим именем (может быть web.exe) и под именем soft.exe.

Программа добавляет в системный реестр следующие ключи:

  
  [HKLM\SOFTWARE\Microsoft\Windows\
  CurrentVersion\run]
   "Web Service"="<путь к системному каталогу\
  
  текущее имя>"
  
  [HKCU\SOFTWARE\Microsoft\Windows NT\
  CurrentVersion\run]
   "run"="<путь к системному каталогу>\
  soft.exe"
  
  [HKCU\SOFTWARE\Microsoft\Windows\
  CurrentVersion\run]
   "Web Service"="<путь к системному каталогу\
  текущее имя>"
  
  [HKEY_CURRENT_USER\Software\Microsoft\
  Active Setup\Installed Components\
  {08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
   "StubPath"="<путь к системному каталогу>\
  soft.exe" 

Отключив функцию восстановления системных файлов, выгружает процесс Explorer.exe («Проводник»). Программа находит его файлы на диске и заражает их, дописывая к ним свой код, после чего запускает процесс Explorer.exe вновь.

После заражения создает файл wininit.ini следующего содержания:

[rename] <путь к системному каталогу>\explorer.exe=<путь к системному каталогу>\explorer.new

Далее в системе действует уже зараженный процесс Explorer.exe. Его новая троянская часть отключает все уведомления встроенного межсетевого экрана, антивируса (WinXP SP2), обновления системы по сети (Windows Update) и производит постоянное, с интервалом 15 минут, скачивание зашифрованного файла commands.ini с адреса http://admin2cash.biz/<убрано из соображений безопасности>. В этом файле содержится список адресов других вирусов и троянов, которые незамедлительно скачиваются на компьютер-жертву.