Trojan.Milicenso: сбылась мечта торговцев бумагой

Корпорация Symantec сообщает об угрозе Trojan.Milicenso. Вирус отправляет на серверы печати задания на распечатку случайных наборов символов вплоть до исчерпания запаса бумаги. При обнаружении антивирусными программами и помещении в карантин вирус не прекращает выполнения действий, так как использует уникальный механизм перенаправления программных запросов.

Код Trojan.Milicenso может заражать компьютеры различными способами: в виде вирусных вложений в сообщения электронной почты, а также при посещении веб-сайтов, на которых размещены вирусные скрипты. Последний вариант часто получается при переходе пользователя по ссылке из спамерского письма. Также в большом количестве случаев заражение происходило с помощью кода, замаскированного под файл кодека. Троян создает и выполняет исполняемый файл, который, в свою очередь, создает файл DLL в папке %System%. Затем исполняемый файл себя удаляет.

Основное содержание созданной библиотеки DLL тщательно зашифровано; для усложнения анализа ключ шифрования также зашифрован с применением уникального значения для каждого зараженного компьютера. Это уникальное значение используется для шифрования ключа шифрования главной библиотеки DLL, который затем встраивается в файл DLL. Ключ используется для выполнения поля перестановки в зашифрованном исполняемом файле. Кроме использования шифрования RC4 особого внимания заслуживает наличие нескольких специальных подпрограмм для идентификации отношения среды выполнения либо к виртуальной машине, либо к известной общедоступной карантинной области, либо к сайту - «черному ящику» (например, ThreatExpert).