Программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Размер программы — 55296 байт.
Программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Размер программы — 55296 байт.
Инсталляция
Копирует себя в системную директорию под именами ntldrt.exe и shellbit32.exe. Файлы имеют атрибуты «скрытый» и «системный».
Создает следующие ключи реестра для автозагрузки при старте Windows:
[HKCU\Software\Microsoft\Windows\ CurrentVersion\Run] "shell32"="ntldrt.exe" [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] "sysclx"="ntldrt.exe"
Вредоносные действия
Ищет на жестком и гибком дисках файлы с расширением «doc», переименовывает их в «exe» и инфицирует. Метод заражения — дописывание себя перед началом doc-файла; заголовок документа при этом шифруется. При запуске зараженного файла первым отрабатывает вирус, который затем запускает оригинальный doc-файл, расшифровав его заголовок.
Признаки присутствия в системе
* наличие мьютекса с именем «mylove»; * превращение документов MSWord в исполняемые «приложения»; * увеличение их размера на 55296 байт.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках