Для шифрования файлов вирус использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4...
1) Базонезависимость (адрес загрузки кода в чужой процесс неизвестен заранее).
2) Независимость от RTL (Run Time Library).
3) Использование только библиотек загруженных в АП (адресное пространство) целевого процесса.
4) Наличие в внедряемом коде всех необходимых для него данных.
С помощью этого всего можно получить скрипт для распространения,заражения,скрытой установки,запуск трояна против воли пользователя в общем очень полезно при написании троянов!
Иногда появляется необходимость в том, что бы какая-либо программа запускалась параллельно с другой или программа подгружала нашу DLL’ку. Это может потребоваться в широком спектре задач: начиная от простого виря/трояна/worm’а и заканчивая какой-нибудь прогой для слежения за трафиком, или даже можно сделать проверку пользователя – будем спрашивать пароль пользователя, и если он правилен - запускать прогу (при желании можно прогу можно ещё и зашифровать, а при правильном пассе - расшифровывать). Так что вариантов применения этой фишки много. Для реализации задуманного мы воспользуемся внедрением своего кода в "жертву-софтину”. Этот код будет маленьким и не будет менять размер "жертвы”. Он будет всего лишь подгружать нашу дллку. При запуске модифицированной программы управление сначала получит наш код, а потом управление получит (или не получит) исходная программа (возможно сильно модифицированная :)).
R106276538945
Z160640024212
410011190732605
