Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением "EXE".
Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением "EXE". Является приложением Windows (PE-EXE файл). Имеет размер 9487286 байт. Написана на Delphi.
После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:
%WinDir%\svchost.comДанный файл имеет размер 41472 байта.
md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808
Вирус изменяет значения следующего параметра ключа системного реестра:
[HKCR\exefile\shell\open\command] "(default)" = "%WinDir%\svchost.com "%1" %*"Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%\svchost.com с параметром равным имени программы, которую запускает пользователь.
Вирус получает список логических дисков на компьютере пользователя. После чего сканирует найденные диски в поисках исполняемых файлов Windows(PE-EXE), найденные файлы такого типа заражаются вирусом. При этом найденные файлы должны соответствовать критериям:
При заражении вирус записывает в начало файла свое тело и перенаправляет точку входа в программу на тело вируса, оригинальное начала файла переносится в конец файла, при этом часть переносимого блока шифруется.
Также вирус создает файл в корневом каталоге Windows под именем "directx.sys":
%WinDir%\directx.sysЕсли тело вируса запускается с параметром равным имени программы, которую запускает пользователь,то производится запуск программы, имя которой передается в виде параметра, а полный путь к запущенной программе помещается в файл %WinDir%\directx.sys для дальнейшего заражения. При этом соблюдаются вышеуказанные критерии заражаемых файлов. Если был запущен зараженный файл (размер запускаемого файла больше 41472 байта), то после запуска тела вируса, вирус расшифровывает оригинальный файл и сохраняет его во временном каталоге текущего пользователя Windows в каталоге "3582-490" под оригинальным именем:
%Temp%\3582-490\после чего оригинальный файл запускается на выполнение. Для контроля уникальности своего процесса в системе вирус создает уникальный идентификатор с именем:
MutexPolesskayaGlushВ теле вируса содержаться следующие строки:
Delphi-the best. *** all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама :) Восень - кепская пара... Алiварыя - лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
md5: 09CBA414D6EDC9999220D79660C155B8
sha1: 5C4C02F5F84A932CB476480F0343FCCF7F4B393D
Никаких овечек — только отборные научные факты