Воскресенье, 24.Ноября.2024, 19:01
Приветствую Вас Гость | RSS
]
0
Главная | Каталог статей | Регистрация | Вход
ЧЕРНАЯ МЕТКА
Форма входа

Меню сайта

Категории раздела
Мои статьи [80] Новости сайта [0]

Поиск

Бонусы !


Наш опрос
Оцените мой сайт
Всего ответов: 418

Друзья сайта
  • Создать сайт
  • Все для веб-мастера
  • Программы для всех
  • Мир развлечений
  • Кидалам - нет
  • Лучшие сайты Рунета
  • Кулинарные рецепты

  • Статистика

    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0

    Главная » Статьи » Мои статьи

    csrcs.exe и с чем его едят.

    Троянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 байт. Упакована при помощи UPX. Распакованный размер – около 603 КБ. Написана на C++.

    Функции трояна сводятся к похищению паролей!


    Инсталляция

    После запуска троянец копирует свое тело в системный каталог Windows под именем "csrcs.exe":

    %System%\csrcs.exe

    Далее файлу присваиваются атрибуты "скрытый" и "только чтение".

    Также троянец копирует свое тело во все доступные на запись сетевые ресурсы под случайно сгенерированным именем.

    Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылки на свой исполняемый файл в ключах автозапуска системного реестра:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
    "csrcs" = "%System%\csrcs.exe"

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell" = "Explorer.exe csrcs.exe"

    Деструктивная активность

    Троянец изменяет значения параметров следующих ключей системного реестра:

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden" = "2"
    "SuperHidden" = "0"
    "ShowSuperHidden" = "0"

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue" = "1"

    Таким образом, троянец отключает отображение скрытых файлов и папок.

    Загруженные файлы сохраняются в кеш Internet Explorer.

    Также троянец содержит встроенного IRC бота, который позволяет злоумышленнику получить полный доступ к компьютеру пользователя.

    По завершению своей работы троянец создает файл командного интерпретатора "suicide.bat" во временном каталоге текущего пользователя Windows: %Temp%\suicide.bat

    В данный файл троянец записывает код для удаления оригинального тела троянца и самого файла командного интерпретатора.

    Далее файл "%Temp%\suicide.bat" запускается на выполнение.


    Категория: Мои статьи | Добавил: spirit (23.Февраля.2011)
    Просмотров: 673 | Рейтинг: 5.0/2
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]

    Copyright MyCorp © 2024

    Информер PR и ТИЦRambler's Top100
    Аккаунт ZWN Яндекс.Метрика
    Goon Каталог сайтов