|
|
 |
Добро пожаловать! |
 |
| |
Мы рады вас видеть :)
Наш проект является сообществом людей, которые увлекаются взломом, поиском уязвимостей, кодингом и т.д.
У нас вы можете получить море полезной информации, к примеру по вопросам :
Взлом, Взломать, Взлом паролей, взлом icq аськи, взлом почты, взлом сайта форума, взлом ящика mail ru, взлом ящика rambler ru, взлом ящика yandex ru, взлом ящика gmail ru, взлом проги, взлом rar архива, взлои игр, взлои сети, взломать пароль, взлои аккаунта, взлои одноклассники, взлом odnoklassniki.ru, взлом вконтакте, взлом vkontakte.ru, взлом moskva ru, как стать хакером, хакер, xakep, sql injection и т.д, это самые частые вопросы.
Будте с нами :)
P.S Спамерам и флудерасам в сторону ========> осеннего леса.
|
|
|
|
 |
| |
|
|
Новости » Вирусы : Virus.Win32. Sality.t |
|
| |
|
Данная программа представляет собой файловый вирус с троянским функционалом. Является приложением Windows (PE EXE-файл). Размер тела вируса — 16384 байта.
Инсталляция
При запуске зараженного файла из тела вируса извлекается следующий файл:
* %System%\oledsp32.dll — имеет размер 25600 байт
Далее этот файл загружается в систему как библиотека DLL, и вирус передает управление оригинальной зараженной программе.
Процедура заражения
Вредоносная программа заражает исполняемые файлы Windows (PE-EXE) с расширениями .EXE и .SCR.
Не инфицируются объекты размером больше 20 миллионов 971 тысячи 520 байт и менее 1024 байт.
При заражении вирус дописывает себя в конец последней секции PE-файла.
После того как Sality.t завершает свою работу, управление снова передается оригинальной программе.
Следует отметить, что поиск файлов для внедрения вредоносного кода производится на всех разделах жесткого диска.
Деструктивная активность
Библиотека «%System%\oledsp32.dll» устанавливает перехватчик открывающихся окон, тем самым подгружая себя в адресное пространство всех запущенных процессов.
Также инсталлируется перехватчик клавиатурного ввода, позволяющий следить за нажимаемыми клавишами в окнах, с которыми работает пользователь. Собранная информация сохраняется в зашифрованном виде внутри следующего файла:
%System%\TFTempCache
В отчет вносятся заголовки окон, последовательности нажатых клавиш, а также системные дата и время.
Кроме того, туда помещается информация о дате и времени работы с окнами, содержащими в заголовках такие строки:
* TERM
* CONNECT
* СОЕДИНЕН
* УДАЛЕНН
* REMOTE
* LOGIN
* PASS
* СВЯЗ
* ТЕРМ
* ПОДКЛЮЧ
* MOZIL
* OUTLOOK
* SERV
* ПОЧТ
* NET
* CHAT
* MONEY
* РЕГИСТ
* EGIST
* SYSTEM
* ПАРОЛ
* PIN
* ПЕРЕД
* ПИН
Вирус получает список модемных соединений и их параметры, похищает содержимое системного парольного кэша (с помощью функции WNetEnumCachedPasswords), получает сведения о последних открытых в Internet Explorer URL.
Также из системного реестра извлекается информация об ОС: версия, серийный номер, название организации, имя пользователя.
Содержимое файла «%WinDir%\edialer.ini» похищается.
Все собранные данные вирус отсылает на один из электронных адресов злоумышленника:
sector****@list.ru
****ntovij@list.ru
Наконец, данная вредоносная программа ищет и удаляет файлы, содержащие в своем имени строку «drw», а также файлы с расширениями:
.vdb
.key
.avc
.tjc
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.
|
|
Напечатать - Автор ArxRush - Просмотров 293 - Дата 22 июля 2008 - №859 |
|
|
|
|
| |
|
|
Информация |
|
| |
|
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.
|
|
|
|
|
|
|
| |
|
программа для взлома пароля...
как взломать пароль на комп...
секреты вконтакте
