Сейчас на сайте
Сейчас на сайте 0 пользователей и 0 гостей.

Trojan.Win32.Patched.c

Заражается произвольный системный файл, к примеру notepad.exe, в который вставляется очень небольшой кусок кода (25 байт), который при запуске notepad.exe запустит файл .log из системного каталога Windows.

Для чего все это делается и что будет дальше?

Не секрет, что современное антивирусное программное обеспечение и средства фильтрации сетевых пакетов(firewall) контролируют определенные ветки реестра и сетевую активность.

Естественно, у этих средств защиты есть исключения, чтобы не беспокоить пользователя, когда он сам меняет какие-то настройки системы. Тенденции 2005 и 2006 года показывают, что вирусописатели начинают использовать нестандартные методы именно для того, чтобы обмануть подобные мониторы защиты:

  • запускают троянца не средствами реестра через ключ Run, а после запуска зараженного системного файла;

  • скачивают троянские программы из процесса Explorer.exe или wininet.dll.

Кроме того, что действие / работу таких программ достаточно сложно обнаружить, требуется дополнительное время, чтобы антивирусные компании создали правильные процедуры их детектирования и лечения, так как заражению подвергаются системные библиотеки.

Вполне возможно, что в ближайшем будущем появится множество вредоносных программ, работающих по принципу «если мониторы контролируют изменение настроек модулей операционной системы, то мы будем изменять сами модули». Такой же принцип уже давно применяется вирусописателями при создании rootkit'ов для операционных систем UNIX.