Security Lab

Virus.Win32.Jlok

Virus.Win32.Jlok

Программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Размер программы — 55296 байт.

Virus.Win32.Jlok («Лаборатория Касперского») также известен как: Trojan Horse (Symantec), Win32.HLLP.Jook (Doctor Web), W32/Jlok.A (Panda), Win32/Jlok.A (Eset)

Программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Размер программы — 55296 байт.

Инсталляция

Копирует себя в системную директорию под именами ntldrt.exe и shellbit32.exe. Файлы имеют атрибуты «скрытый» и «системный».

Создает следующие ключи реестра для автозагрузки при старте Windows:

  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "shell32"="ntldrt.exe"
  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "sysclx"="ntldrt.exe"  

Вредоносные действия

Ищет на жестком и гибком дисках файлы с расширением «doc», переименовывает их в «exe» и инфицирует. Метод заражения — дописывание себя перед началом doc-файла; заголовок документа при этом шифруется. При запуске зараженного файла первым отрабатывает вирус, который затем запускает оригинальный doc-файл, расшифровав его заголовок.

Признаки присутствия в системе

  
      * наличие мьютекса с именем «mylove»;
      * превращение документов MSWord в исполняемые «приложения»;
      * увеличение их размера на 55296 байт. 

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!