pjorion вирус

Прочее компьютерное..



Вирус win32 чем опасен

Автор The dark one задал вопрос в разделе Прочее компьютерное

Чем опасен вирус win32:neshta? и получил лучший ответ

Ответ от Виктор иванов[гуру]
Вредоносная программа, которая находит и заражает исполняемые файлы. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта. В корневом каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.
В системном реестре создается следующая запись:
[HKCRexefileshellopencommand]
@="%WINDIR%svchost.com "%1" %*"
Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск. В теле вируса содержатся следующие строки:
Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса) , то происходит вызов функции расшифровки и запуска файла.
В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.
После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%directx.sys, если таковой присутствует.
После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%directx.sys для дальнейшего заражения.
Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).
После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush» для определения своего присутствия в системе.
После чего выполняются следующие действия:
* вирус получает список дисков, которые не являются FDD и CD-ROM;
* производится поиск файлов по найденным дискам, причем файлы должны соответствовать заданным критериям:
o файлы должны быть не из каталогов %Program Files% и %WINDIR%;
o не заражаются файлы на логических дисках A: и B:;
o размер фалов должен быть не меньше 41473 и не больше 10000000 байт.
Вирус правильно обрабатывает файлы с атрибутом «только чтение». После заражения он восстанавливает начальные атрибуты файла.

Ответ от Shust[гуру]
Вредоносная программа, которая находит и заражает исполняемые файлы.

Ответ от 3 ответа[гуру]
Привет! Вот подборка тем с похожими вопросами и ответами на Ваш вопрос: Чем опасен вирус win32:neshta?
H1N1 на Википедии
Посмотрите статью на википедии про H1N1
Made in the AM на Википедии
Посмотрите статью на википедии про Made in the AM
Neshta на Википедии
Посмотрите статью на википедии про Neshta
Прогрессирующая мультифокальная лейкоэнцефалопатия на Википедии
Посмотрите статью на википедии про Прогрессирующая мультифокальная лейкоэнцефалопатия
 

Ответить на вопрос:

Имя*

E-mail:*

Текст ответа:*
Проверочный код(введите 22):*