Security Week 08: вирусы возвращаются / Комментарии / Хабр

Jogger 17 фев 2020 в 16:16

вирус модифицирует их так, что оригинальная функциональность программы не сохраняется

Тогда какое же это заражение? Так можно вообще не заморачиваться — удалить файл, записать тело вируса с тем же именем, опционально — поменять иконку на икоку оригинального файла.

fmj 17 фев 2020 в 17:54

После запуска зараженного файла KBOT закрепляется в системе, прописывая себя в автозагрузку и планировщик задач. В исследовании подробно описывается процесс заражения исполняемых файлов: вирус модифицирует их так, что оригинальная функциональность программы не сохраняется. Из-за этого файлы модифицируются только на подключаемых логических дисках: внешних носителях, сетевых дисках и так далее, но не на системном разделе, иначе вместо кражи данных будет иметь место полная неработоспособность ОС

Как он получает права на изменение системных файлов? Использует уязвимости для повышения прав? В статье по ссылке говорится про режим совместимости для UAC, но если у пользователя вообще нет прав админа? И как он вообще запустится? Использует какие-то дыры в AppLocker/srp?

Tufed 18 фев 2020 в 12:15

Работает только в винХР и был случайно найден одним из админов на полке с cd дисками, откуда и был разослан друзьям по почте чисто For Fan, где его успешно детектировал касперский и включил в отчетик. <только предположение>