TR0C — новый Windows-вирус

PE_TR0C (aka W95/TROC, WIN32.TROC) — опасный резидентный полиморфный вирус, заражающий PE EXE файлы (выполняемые файлы Windows) после начальной загрузки. Вирус разрушает инфицированные им файлы из-за дефектов в процедуре заражения.

Вирус записывает на компьютер свой файл-дроппер PE_TR0C-O, этот файл может быть сжатым UPX-компрессией. При первом запуске этого файла, вирус создает свою копию в корневой директории Windows, присваивая ему случайное имя. Затем вирус, чтобы быть активным после каждой загрузки системы, добавляет в системный реестр следующую запись:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunXXXXXX = Cc:WINDOWSXXXXXX.EXE

где XXXXXX.EXE — случайное имя записываемого вирусом файла.

При каждой начальной загрузке системы вирус инфицирует несколько EXE-файлов Windows, помимо этих вирус заражает также и другие файлы, добавляя свой код в конец инфицируемого файла и модифицирует стартовый адрес программы таким образом, что при загрузке в память зараженного файла управление передается на код вируса. Вирус увеличивает размер инфицированного файла приблизительно на 70 килобайт. Однако инфицированные файлы уже больше не запускаются, т.к. вирус содержит ошибки в процедуре заражения.

Чтобы инфицировать EXPLORER.EXE, который запускается в момент загрузки самой системы и до того как вирус будет сам запущен на исполнение, вирус предпринимает следующие шаги:

1. После первой перезагрузки после первоначальной инфекции, вирус создает зараженную версию EXPLORER.EXE под именем EXPLORER.AB и записывает его в корневую директорию Windows.
2. Затем вирус создает файл WININIT.INI со следующим значением: c:WINDOWSEXPLORER.EXE = c:WINDOWSEXPLORER.AB
3. После повторной перезагрузки системы вирус заражает EXPLORER.EXE, т.к. загруженным на данный момент оказывается EXPLORER.AB. Далее вирус удаляет файл WININIT.INI.
4. После третьей перезагрузки зараженный файл EXPLORER.EXE загружается и уже не может быть ни «вылечен» ни удален, а вирус удаляет ненужный ему EXPLORER.AB.