Virus.Win32.TeddyBear

Класс Virus
Платформа Win32
Описание

Technical Details

Резидентный Windows-вирус с функциями «троянского коня»
несанкционированного удаленного администрирования (Backdoor).
Заражает PE EXE-файлы Windows. При заражении записывается в их конец.

При запуске зараженного файла вирус «сбрасывает» свой «чистый код» в файл
DLLMGR.EXE в системный каталог Windows и запускает его на выполнение.
Вторично получив управление из DLLMGR.EXE вирус регистрируется в системе
как скрытое приложение и также регистрируется в системном реестре в секции
автозапуска:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  Teddybear = "xxxxDLLMGR.EXE"

где «xxxx» является именем системного каталога Windows.

Затем вирус остается в памяти Windows и активизирует свою троянскую
компоненту (Backdoor). Эта процедура устанавливает сетевое соединение, ждет
появления «хозяина» и выполняет его команды (прием/передача файлов, запуск
файлов и т.д.). Таким образом, вирус способен не только передавать с
компьютера любую информацию, но и «апдейтить» свой код. Более того,
процедура заражения других PE EXE-файлов выполнена в виде отдельной
компоненты (апдейта) — на зараженный компьютер попадает только
«backdoor-стартер» вируса, который затем дочитывает у «хозяина» прочие
необходимые компоненты. Такой способ распространения и функционироваания
впервые был встречен у вируса «Win95.Babylonia».