B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy








Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

Virus.Win32.Saburex.a

Jest to wirus infekuj膮cy pliki wykonywane systemu MS Windows. Ma posta膰 pliku PE EXE o rozmiarze 17 920 bajt贸w.

Instalacja

Po uruchomieniu wirus kopiuje sw贸j plik wykonywalny do foldera systemu Windows: 

%System%ole16.dll
i modyfikuje warto艣ci w nast臋puj膮cych kluczach rejestru:

[HKCRCLSID{00021401-0000-0000-C000-000000000046InProcServer32]
@ = "ole16.dll"
ThreadingModel = "both"

[HKLMSOFTWAREClassesCLSID{00021401-0000-0000-C000-000000000046}InProcServer32]
@ = "ole16.dll"
ThreadingModel = "both"

Funkcje wirusa

Wirus infekuje pliki posiadaj膮ce rozszerzenie .exe znajduj膮ce si臋 na losowo wybranej partycji. Szkodnik nie infekuje plik贸w zapisanych w folderach, kt贸rych nazwy zawieraj膮 jeden z poni偶szych tekst贸w: 

program files
documents and
_restore
music

Podczas infekowania pliku wirus pakuje jego oryginaln膮 zawarto艣膰 do archiwum CAB. Nast臋pnie szkodnik zapisuje w艂asny kod na pocz膮tku atakowanego pliku przesuwaj膮c jego oryginaln膮 zawarto艣膰 (w archiwum CAB) na koniec.

Po uruchomieniu zainfekowanego pliku kod wirusa jest zapisywany w folderze tymczasowym systemu Windows z tymczasow膮 nazw膮 i rozszerzeniem DLL.

Szkodnik wypakowuje ze swojego kodu jeszcze jeden plik DLL o rozmiarze 7 168 bajt贸w i zapisuje go w folderze tymczasowym z tymczasow膮 nazw膮. Plik ten 艣ledzi wszystkie okna na pulpicie i wstrzykuje kod wirusa do proces贸w zwi膮zanych z tymi oknami.

Kod wstrzykni臋ty do proces贸w tworzy zrzuty ekran贸w aktywnych okien, szyfruje je i publikuje na stronie x***e.ru.

Usuwanie szkodnika z zainfekowanego systemu

W celu usuni臋cia szkodnika z zainfekowanego systemu nale偶y wykona膰 nast臋puj膮ce operacje:

  1. Usun膮膰 nast臋puj膮cy plik: 
    %System%ole16.dll

  2. Przywr贸ci膰 poprawn膮 zawarto艣膰 nast臋puj膮cych kluczy rejestru:

    [HKCRCLSID{00021401-0000-0000-C000-000000000046}InProcServer32]
    @="shell32.dll"
    ThreadingModel="Apartment"

    [HKLMSOFTWAREClassesCLSID{00021401-0000-0000-C000-000000000046}InProcServer32]
    @="shell32.dll"
    ThreadingModel="Apartment"

  3. Usun膮膰 wszystkie pliki z foldera %Temp%.
  4. Uaktualni膰 sygnatury zagro偶e艅 i wykona膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus)


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Zdaniem eksperta | Forum | Kontakt
Copyright © 2012 WirusPC.pl