Virus.Win32.TeddyBear

Класс Virus
Платформа Win32
Описание

Technical Details

Резидентный Windows-вирус с функциями “троянского коня”
несанкционированного удаленного администрирования (Backdoor).
Заражает PE EXE-файлы Windows. При заражении записывается в их конец.

При запуске зараженного файла вирус “сбрасывает” свой “чистый код” в файл
DLLMGR.EXE в системный каталог Windows и запускает его на выполнение.
Вторично получив управление из DLLMGR.EXE вирус регистрируется в системе
как скрытое приложение и также регистрируется в системном реестре в секции
автозапуска:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  Teddybear = "xxxxDLLMGR.EXE"

где “xxxx” является именем системного каталога Windows.

Затем вирус остается в памяти Windows и активизирует свою троянскую
компоненту (Backdoor). Эта процедура устанавливает сетевое соединение, ждет
появления “хозяина” и выполняет его команды (прием/передача файлов, запуск
файлов и т.д.). Таким образом, вирус способен не только передавать с
компьютера любую информацию, но и “апдейтить” свой код. Более того,
процедура заражения других PE EXE-файлов выполнена в виде отдельной
компоненты (апдейта) – на зараженный компьютер попадает только
“backdoor-стартер” вируса, который затем дочитывает у “хозяина” прочие
необходимые компоненты. Такой способ распространения и функционироваания
впервые был встречен у вируса “Win95.Babylonia”.

Узнай статистику распространения угроз в твоем регионе