Satanachia
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Народ! Всем! Ни в коем случае не скачивайте форк WinMerge 0.2011.005.427 WinMerge 0.2011.005.427 PortableApps WinMerge 0.2011.007.061 r987 и наверное другие. Последствия ужасающие. После запуска, система заражается вирусом Virus.Win32.Nimnul.a и Trojan-Dropper.VBS.Agent.bp https://www.virustotal.com/ru/file/70388f4eb2ff86db484e5d5a3d23ea2b0a4f874a82479501dfc1a08ddaf438cc/analysis/1486424651/ Проверить легко Вредоносная программа, заражающая файлы на компьютере пользователя, и предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 62464 байта. Упакована UPX и неизвестным упаковщиком. Распакованный размер – около 75 КБ. Написана на C++. Распространение Копия вредоноса создается на всех доступных для записи съемных дисках, подключаемых к зараженному компьютеру, в каталоге: имя зараженного диска:/Recycler Также в корне диска создается файл имя зараженного диска:/autorun.inf обеспечивающий вредоносу возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Деструктивная активность После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем: KyUffThOkYwRRtgPP Также проверяется имя исполняемого файла вредоноса. Если имя отлично от "DesktopLayer.exe", тело вредоноса копируется в файл: %Program Files%/Microsoft/DesktopLayer.exe после чего, запускается на выполнение. Также каталог "Microsoft", содержащий копию вредоноса, может создаваться в каталогах: %HOMEDRIVE% %HOMEPATH% %APPDATA% %System% %WinDir% %Temp% После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий: для автоматического запуска созданной ранее копии вредоноса изменяется значение ключа системного реестра: [HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon] "Userinit" = "%System%/userinit.exe,,%Program Files%/microsoft/desktoplayer.exe" Таким образом, копия будет запускаться процессом "WINLOGON.EXE" даже при запуске компьютера в "безопасном режиме". Предотвращается модификация ключа автозапуска реестра, а также файла "DesktopLayer.exe". Заражаются файлы с расширениями: htm dll exe Версию WinMerge-2.14.0-Setup, пока не проверял. |