Penetrator (шкідлива програма)

Увага! Дана сторінка або розділ містить ненормативну лексику.

• в папці \ WINDOWS \ system32 \ створює папку DETER177;
• в папці \ WINDOWS \ system32 \ DETER177 \ створює прихований файл lsass.exe (117248 байт; на відміну від справжнього lsass.exe. знаходиться в папці \ WINDOWS \ system32);
• в папці \ WINDOWS \ system32 \ DETER177 \ створює прихований файл smss.exe (117248 байт; на відміну від справжнього smss.exe. знаходиться в папці \ WINDOWS \ system32);
• в папці \ WINDOWS \ system32 \ DETER177 \ створює прихований файл svchost.exe (117248 байт; літери «с» і «о» - кириличні, на відміну від справжнього svchost.exe);
• в папці \ WINDOWS \ system32 \ створює прихований файл AHTOMSYS19.exe (117248 байт);
• в папці \ WINDOWS \ system32 \ створює прихований файл сtfmon.exe (117248 байт; літери «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe);
• в папці \ WINDOWS \ system32 \ створює прихований файл psador18.dll (32 байта);
• в папці \ WINDOWS \ system32 \ створює прихований файл psagor18.sys (117248 байт);
• файли АHTOMSYS19.exe. \ WINDOWS \ system32 \ DETER177 \ lsass.exe і \ WINDOWS \ system32 \ сtfmon.exe автозавантажувані і постійно присутні в оперативній пам'яті;
• деструктивну дію трояна направлено на файли .avi. doc. jpg. jpeg. mp3. mpeg. mpg. pdf. ppt. rar. vob. wma. wmv. xls. zip;

• все .jpg-файли (.jpg. jpeg) замінюються bmp-зображенням під оболонкою .jpg c розміром 69х15 пікселів, 3174 байт зі стилізованим написом Penetrator. Файли .bmp. png. tiff троян не чіпає;
• вміст файлів .doc і .xls замінюється таким нецензурним текстовим повідомленням (при цьому розмір цих файлів стає 196 байт - за обсягом текстового повідомлення):

• троян створює папку Burn з файлами CDburn.exe і autorun.inf (розташування папки: Windows XP - \ Documents and Settings \<Имя_пользователя>\ Local Settings \ Application Data \ Microsoft \ Windows; Windows Vista і Windows 7 - \ Users \ Master \ AppData \ Local \ Microsoft \ Windows \ Burn);
• в одній папці (включаючи вкладені папки) диска, на якому стався запуск файлу flash.scr, троян створює свої копії <имя_папки>.scr (117248 байт); після цього файл flash.scr на цьому диску (який вже уразив), як правило, самознищується, залишаючи в кореневих директоріях дисків прихований файл трояна (без назви) з розширенням .scr;
• при відкритті / підключенні локальних / знімні носії троян копіюється на незаражені носії;
• виробляє прихований виклик наступних системних dll-бібліотек: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT.DLL.

Маскується троян в системі наступним чином:

Розпізнавання трояна антивірусами

Різні антивіруси розпізнають його по різному:

Схожі статті

• Включення і відключення захисту від шкідливих програм

• Поради по комп'ютерам ноутбуків комплектуючих інтернету ігор безпеки програмами техніці

• Дизасемблювання консольних програм, знаходження пароля