|
dimon7707
Сообщения: n/a
|
Профиль
| Цитировать
Flynet005, есть подозрения на вирус
читать дальше »
Код:  WScript.exe .\autorun.vbs
%windir%\System32\WScript.exe является комплектным модулем ОС Windows, который представляет собой специальный отладчик, под которым производится запуск и отладка программных сценариев, написанных на скрипт-языках. Используя эту программы, вирус получает возможность скрытно загружаться на выполнение и даже резидентно оставаться в памяти компьютера вплоть до завершения работы Windows. Однако в результате некой ошибки в коде основного компонента вируса, последний далеко не всегда остается резидентно в памяти, а проходит один полный цикл (инсталляция + процесс заражения дисков) и завершает свою работу.
При запуске autorun.vbs копирует все свои компоненты в системный каталог Windows. Тут проявляется следующий недочет его автора: вирус считает своими компонентами абсолютно все файлы в текущем каталоге, имена которых соответствуют "autorun", т.е. расширения файлов не проверяются. В результате этого, если в корне носителя имеют место компоненты какого-либо автозагрузочного диска, ранее скопированного пользователем на носитель, у которых имена также соответствуют "autorun", то они тоже будут скопированы в системный каталог, а в дальнейшем и на все заражаемые вирусом диски. Например, среди образцов таких "компонентов" вируса мне попадались файлы-картинки (autorun.bmp), конфигурационные файлы от игр и системных программ (autorun.ini), компоненты загрузочного меню CD-дисков (autorun.exe) и многие др. совершенно безобидные файлы, не имеющие к вирусу никакого отношения:
%windir%\System32\autorun.*
Далее, используя системный интерпретатор командной строки %windir%\System32\cmd.exe, вирус запускает на выполнение свой компонент autorun.bat. В свою очередь, используя системную утилиту %windir%\System32\regedit.exe, этот компонент запускает на выполнение файл autorun.reg, который импортирует в нижеприведенные ветки ключей реестра следующие модифицированные под потребности вируса значения:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
|
Отправлено: 18:11, 17-09-2008
| #7
|
