Променя библиотеката или как се пише троянец без палитра - 28 февруари 2012 г. - Начална страница на Vayrus
Изследователи от антивирусната компания Softwin (разработчик на Bitdefender) са открили сложен троянски кон, който използва нетривиални методи за маскиране на код в операционната система. Въпреки че простият злонамерен софтуер може да се добави към стартовия списък чрез модифициране на системния регистър - и следователно лесно да се идентифицира от антивирус, новият троянски Trojan.Dropper.UAJ използва свой собствен подход: той е вграден в една от важните библиотеки на Windows (comres.dll ), така че всички приложения, които имат достъп до тази библиотека, да стартират злонамерен код за изпълнение.
Троянецът прави копие на оригиналния файл comres.dll, модифицира го и след това го записва в папката на Windows, откъдето се извиква по подразбиране от всички програми, например explorer.exe.
Промените в библиотечния файл включват добавянето само на една функция, която се импортира заедно с общите функции. Следващ списък. След това троянецът поставя файла prfn0305.dat на диска (той се идентифицира от Bitdefender като Backdoor.Zxshell.B). Сега всичко е на мястото си и когато се извика системната DLL, стартира се задна врата, чиято функционалност ви позволява да извършвате всякакви действия в системата, включително стартиране на други файлове, добавяне и премахване на потребители, промяна на пароли и т.н.