Kaspersky Threats — Gastropod

Класс

Платформа

Описание

Technical Details

Вирус, заражающий файлы .NET-приложений. Написан на языке C#.

При запуске зараженного файла создается поток, выполняющий код вируса параллельно выполнению основного кода программы.

После запуска вирус создает в текущем каталоге файл «ILReader.DLL» — эта библиотека используется для дизассемблирования кода заражаемых файлов.

Затем вирус ищет в текущем каталоге файлы с расширением exe. Для каждого найденного файла создается копия, оригинальный файл заражается, и в случае успешного заражения копия удаляется, а если заражение выполнить не удалось, оригинальный файл восстанавливается из копии.

Процедура заражения начинается с анализа модулей, типов данных и методов заражаемого приложения. Если какой-либо тип данных совпадает (c точностью до количества подтипов и методов) с типом самого вируса, файл считается уже зараженным и пропускается.

Когда вирус обнаруживает модуль, содержащий стартовый метод заражаемого файла, он добавляет свой код и данные в этот модуль; в начало стартового метода вставляются команды для запуска кода вируса в отдельном потоке, а в конец — команда остановки этого потока.

Кроме того, для того чтобы затруднить анализ заражённых файлов, вирус «разбавляет» код незначащими командами, а также случайным образом переименовывает названия классов и методов.

После успешного заражения файла к нему дописывается библиотека «ILReader.DLL» и вирус переходит к следующему файлу.

Когда каталог полностью «обработан», вирус удаляет файл «ILReader.DLL» и выполняет описанную процедуру для родительского каталога — и так далее вплоть до корневого каталога диска.

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	MSIL
Описание	Technical Details Вирус, заражающий файлы .NET-приложений. Написан на языке C#. При запуске зараженного файла создается поток, выполняющий код вируса параллельно выполнению основного кода программы. После запуска вирус создает в текущем каталоге файл «ILReader.DLL» — эта библиотека используется для дизассемблирования кода заражаемых файлов. Затем вирус ищет в текущем каталоге файлы с расширением exe. Для каждого найденного файла создается копия, оригинальный файл заражается, и в случае успешного заражения копия удаляется, а если заражение выполнить не удалось, оригинальный файл восстанавливается из копии. Процедура заражения начинается с анализа модулей, типов данных и методов заражаемого приложения. Если какой-либо тип данных совпадает (c точностью до количества подтипов и методов) с типом самого вируса, файл считается уже зараженным и пропускается. Когда вирус обнаруживает модуль, содержащий стартовый метод заражаемого файла, он добавляет свой код и данные в этот модуль; в начало стартового метода вставляются команды для запуска кода вируса в отдельном потоке, а в конец — команда остановки этого потока. Кроме того, для того чтобы затруднить анализ заражённых файлов, вирус «разбавляет» код незначащими командами, а также случайным образом переименовывает названия классов и методов. После успешного заражения файла к нему дописывается библиотека «ILReader.DLL» и вирус переходит к следующему файлу. Когда каталог полностью «обработан», вирус удаляет файл «ILReader.DLL» и выполняет описанную процедуру для родительского каталога — и так далее вплоть до корневого каталога диска.
	Узнай статистику распространения угроз в твоем регионе

Virus.MSIL.Gastropod

Technical Details