Форум АНТИЧАТ - Иследование вируса avmo.exe

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.

Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.

⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

Иследование вируса avmo.exe

05.09.2008, 06:57

Грот

Участник форума

Регистрация: 24.01.2008

Сообщений: 110

Провел на форуме:
359408

Репутация: 209

Отправить сообщение для Грот с помощью ICQ

Иследование вируса avmo.exe

итак попал ко мне вирус и засел в системе вирус я удалил систему почистил и занялся иследованием.

При запуске создает фаил C:\Windows\system32\AVMO.EXE и библиотеку, которая подгружает с инета в случии удаления AVPO0.DLL. AMVO1.DLL и.т.д.

далее прописывает себя в автозапуск
после оключает отображение скрытых и системных файлов
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ Hidden = 00, 00, 00, 00 HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ ShowSuperHidden = 00, 00, 00, 00

теперь можно и создать фаилы на всех носителях
что он собственно и делает
фаил xo8wr9.exe (вроде) и для запуска autorun.inf, с атрибутом системный тем самым размножаеться
при открытии диска запускаеться вирь
библиотеки подгружаються динамически.

вирус ворует пароли от онлайн игр.

если есть интерес для болие досконального иследования могу залить фаилы.