«PE_WEIRD» — новая троянская программа, позволяющая удаленно управлять компьютером-«жертвой»

Trend Micro сообщает о появлении в «диком виде» нового вируса PE_WEIRD, отмечая при этом, что вероятность заражения этим вирусом невелика.

Этот Win32-вирус является троянской программой Backdoor, позволяющей удаленно администрировать зараженный компьютер в Сети. Другие возможные имена вируса:

PE_ZYTZMXZY, ZYTZMXZY, W95/Kuang, W95/Kuang.dr, W95/Kuang2.cli, W95/Kuang2.svr, W95/Weird.1024.A

Вирус инфицирует все PE-файлы. В отличие от других подобных троянов, которые имеют только две части, PE_WEIRD имеет три части: клиентскую, серверную и программу-инфекцию. Клиентская и серверная части троянской программы позволяют удаленному пользователю обращаться к инфицированному компьютеру, в то время как программа-инфекция заражает все PE-файлы в компьютере.

Для заражения компьютера вирус создает файл «Explorer.?» (где «?» — это второй символ, взятый из имени зараженного компьютера) и записывает его в корневой каталог Windows.

Затем вирус модифицирует файл WININIT.INI и добавляет команду, с помощью которой файл «EXPLORER.EXE» заменяется на «EXPLORER.?». При запуске WINIINIT.EXE этот файл исполняется перед тем, как стартует пользовательский графический интерфейс Windows. При следующем перезапуске Window пользователем зараженный EXPLORER.EXE становится активным. Поскольку Explorer по умолчанию — невидимая задача, пользователь может и не подозревать, что его компьютер заражен, вирус постоянно запускается на заднем плане.

Как только инфицированный Explorer запускается, вирус записывает в корневой каталог Windows очередной файл, имя для которого вирус сочиняет с помощью следующей формулы:

{(«имя компьютера» — 41) + 20} -1 = «имя файла»

В промежутке между этими вычислениями вирус проверяет имя вновь созданного файла на валидность. Этот файл инфицированный Explorer также загружает как невидимый процесс. Цель этого процесса — исследование всех файлов на жестком диске и инфицирование PE-файлов.

Серверная компонента трояна позволяет удаленному «клиенту» делать следующие вещи:

• просматривать сообщения;
• открывать/закрывать CDROM;
• запускать файлы;
• перезагружать компьютер;
• управлять панелью задач.