НовостиПо типу лицензииЭнциклопедия вирусов- Новые вирусы (70)
Купить на AllSoftПрограммы защитыПо языку интерфейсаВходИнформацияПоискНавигацияНа сайтеНа данный момент на сайте 1 пользователь и 1 гость .
Пользователи на сайте
Реклама в Яндекс.Директ, создание и продвижение сайтов. |
Win32/Hupigon.VТроянская программа. Имеет встроенную функцию удаленного управления компьютером. Написана на языке Delphi, упакована Aspack. Является приложением Windows (PE EXE-файл). Размер файла — 418304 байт. После запуска бэкдор копирует себя в корневой каталог Windows с именем G_Server.exe: Также в корневом каталоге Windows бэкдор создает следующие файлы: Причем файлы G_Server.exe, G_ServerKey.dll и G_Server.dll создаются с атрибутами скрытые (hidden), системные (system) и только для чтения (read only). Бэкдор регистрирует в реестре службу GrayPigeonServer в режиме автозапуска (параметр Start = "dword:00000002"). Для этого в системном реестре создаются следующие ключи: Для Windows NT, 2000, XP и Server 2003: [HKLM\System\CurrentControlSet\Services\GrayPigeonServer] [HKLM\System\CurrentControlSet\Services\GrayPigeonServer\Enum] [HKLM\System\CurrentControlSet\Services\GrayPigeonServer\] [HKLM\System\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER] [HKLM\System\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER\0000] Для Windows 98, Me: [HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] Троян использует rootkit-техники для скрытия своих процессов в системе. Внося изменения в память активных процессов, заставляет их вызывать свои вредоносные функций. При этом нельзя пронаблюдать исполняемый троянский код в списке исполняемых задач. После запуска троянца стартует уже проинсталлированная служба GrayPigeonServer. Далее он инфицирует процесс IEXPLORER.EXE (открывает его со всеми возможными правами и производит в его адресное пространство запись своих данных, тем самым подключая функции из библиотек: G_Server_HOOk.dll, G_ServerKey.dll). В свою очередь уже IEXPLORER.EXE заражает все остальные активные процессы в системе. Сам процесс G_Server.exe завершает свое выполнение и удаляет cвою исходную копию. Бэкдор создает следующие уникальные идентификаторы для определения своего присутствия в системе: Gpigeon5_Shared_2005 IEXPLORER.EXE пытается установить соединение с vip.***gezi.com:8004 и получает предписания для дальнейшей загрузки и открытия различных портов с целью дать доступ удаленному пользователю к зараженной машине. Источник информации stopvirus.ru Отправить новый комментарий |