Для шифрования файлов вирус использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4...
1) Базонезависимость (адрес загрузки кода в чужой процесс неизвестен заранее). 2) Независимость от RTL (Run Time Library). 3) Использование только библиотек загруженных в АП (адресное пространство) целевого процесса. 4) Наличие в внедряемом коде всех необходимых для него данных.
С помощью этого всего можно получить скрипт для распространения,заражения,скрытой установки,запуск трояна против воли пользователя в общем очень полезно при написании троянов!
Иногда появляется необходимость в том, что бы какая-либо программа
запускалась параллельно с другой или программа подгружала нашу DLL’ку. Это может
потребоваться в широком спектре задач: начиная от простого виря/трояна/worm’а и
заканчивая какой-нибудь прогой для слежения за трафиком, или даже можно сделать
проверку пользователя – будем спрашивать пароль пользователя, и если он правилен
- запускать прогу (при желании можно прогу можно ещё и зашифровать, а при
правильном пассе - расшифровывать). Так что вариантов применения этой фишки
много. Для реализации задуманного мы воспользуемся внедрением своего кода в
"жертву-софтину”. Этот код будет маленьким и не будет менять размер "жертвы”. Он
будет всего лишь подгружать нашу дллку. При запуске модифицированной программы
управление сначала получит наш код, а потом управление получит (или не получит)
исходная программа (возможно сильно модифицированная :)).
В данной статье рассмотрим простейший пример keylogger (клавиатурный шпион). Keylogger (кейлоггер) — (англ. key — клавиша и logger — регистрирующее устройство) — это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера (http://ru.wikipedia.org/wiki/Keylogger).
