Технический форум - Показать сообщение отдельно - win32:sality-AB вирус

Matrix · 18.06.2008, 18:04

Инфо:::
Virus.Win32. Sality.t

19 марта, 2007

Данная программа представляет собой файловый вирус с троянским функционалом. Является приложением Windows (PE EXE-файл). Размер тела вируса — 16384 байта. Инсталляция

При запуске зараженного файла из тела вируса извлекается следующий файл:

* %System%\oledsp32.dll — имеет размер 25600 байт

Далее этот файл загружается в систему как библиотека DLL, и вирус передает управление оригинальной зараженной программе.

Процедура заражения

Вредоносная программа заражает исполняемые файлы Windows (PE-EXE) с расширениями .EXE и .SCR.

Не инфицируются объекты размером больше 20 миллионов 971 тысячи 520 байт и менее 1024 байт.

При заражении вирус дописывает себя в конец последней секции PE-файла.

После того как Sality.t завершает свою работу, управление снова передается оригинальной программе.

Следует отметить, что поиск файлов для внедрения вредоносного кода производится на всех разделах жесткого диска.

Деструктивная активность

Библиотека «%System%\oledsp32.dll» устанавливает перехватчик открывающихся окон, тем самым подгружая себя в адресное пространство всех запущенных процессов.

Также инсталлируется перехватчик клавиатурного ввода, позволяющий следить за нажимаемыми клавишами в окнах, с которыми работает пользователь. Собранная информация сохраняется в зашифрованном виде внутри следующего файла:

%System%\TFTempCache

В отчет вносятся заголовки окон, последовательности нажатых клавиш, а также системные дата и время.

Кроме того, туда помещается информация о дате и времени работы с окнами, содержащими в заголовках такие строки:

* TERM
* CONNECT
* СОЕДИНЕН
* УДАЛЕНН
* REMOTE
* LOGIN
* PASS
* СВЯЗ
* ТЕРМ
* ПОДКЛЮЧ
* MOZIL
* OUTLOOK
* SERV
* ПОЧТ
* NET
* CHAT
* MONEY
* РЕГИСТ
* EGIST
* SYSTEM
* ПАРОЛ
* PIN
* ПЕРЕД
* ПИН

Вирус получает список модемных соединений и их параметры, похищает содержимое системного парольного кэша (с помощью функции WNetEnumCachedPasswords), получает сведения о последних открытых в Internet Explorer URL.

Также из системного реестра извлекается информация об ОС: версия, серийный номер, название организации, имя пользователя.

Содержимое файла «%WinDir%\edialer.ini» похищается.

Все собранные данные вирус отсылает на один из электронных адресов злоумышленника:

sector****@list.ru
****ntovij@list.ru

Наконец, данная вредоносная программа ищет и удаляет файлы, содержащие в своем имени строку «drw», а также файлы с расширениями:

.vdb
.key
.avc
.tjc

18.06.2008, 18:04	#3 (permalink)
Matrix IT-Specialist Регистрация: 12.04.2007 Сообщений: 2,906 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1845	Инфо::: Virus.Win32. Sality.t 19 марта, 2007 Данная программа представляет собой файловый вирус с троянским функционалом. Является приложением Windows (PE EXE-файл). Размер тела вируса — 16384 байта. Инсталляция При запуске зараженного файла из тела вируса извлекается следующий файл: * %System%\oledsp32.dll — имеет размер 25600 байт Далее этот файл загружается в систему как библиотека DLL, и вирус передает управление оригинальной зараженной программе. Процедура заражения Вредоносная программа заражает исполняемые файлы Windows (PE-EXE) с расширениями .EXE и .SCR. Не инфицируются объекты размером больше 20 миллионов 971 тысячи 520 байт и менее 1024 байт. При заражении вирус дописывает себя в конец последней секции PE-файла. После того как Sality.t завершает свою работу, управление снова передается оригинальной программе. Следует отметить, что поиск файлов для внедрения вредоносного кода производится на всех разделах жесткого диска. Деструктивная активность Библиотека «%System%\oledsp32.dll» устанавливает перехватчик открывающихся окон, тем самым подгружая себя в адресное пространство всех запущенных процессов. Также инсталлируется перехватчик клавиатурного ввода, позволяющий следить за нажимаемыми клавишами в окнах, с которыми работает пользователь. Собранная информация сохраняется в зашифрованном виде внутри следующего файла: %System%\TFTempCache В отчет вносятся заголовки окон, последовательности нажатых клавиш, а также системные дата и время. Кроме того, туда помещается информация о дате и времени работы с окнами, содержащими в заголовках такие строки: * TERM * CONNECT * СОЕДИНЕН * УДАЛЕНН * REMOTE * LOGIN * PASS * СВЯЗ * ТЕРМ * ПОДКЛЮЧ * MOZIL * OUTLOOK * SERV * ПОЧТ * NET * CHAT * MONEY * РЕГИСТ * EGIST * SYSTEM * ПАРОЛ * PIN * ПЕРЕД * ПИН Вирус получает список модемных соединений и их параметры, похищает содержимое системного парольного кэша (с помощью функции WNetEnumCachedPasswords), получает сведения о последних открытых в Internet Explorer URL. Также из системного реестра извлекается информация об ОС: версия, серийный номер, название организации, имя пользователя. Содержимое файла «%WinDir%\edialer.ini» похищается. Все собранные данные вирус отсылает на один из электронных адресов злоумышленника: sector**@list.ru **ntovij@list.ru Наконец, данная вредоносная программа ищет и удаляет файлы, содержащие в своем имени строку «drw», а также файлы с расширениями: .vdb .key .avc .tjc

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070