Семейство Trojan.Black.Win32
Trojan.Black.Win32 – семейство троянских программ упакованных(защищенных) при помощи протектора Themida.
В данном случае интересна не столько сама троянская программа, как сам протектор Themida. Протектор Themida – это программа который защищает скомпилированный код от попыток анализа, взлома и модификации.
Основные функции протектора Themida :
- Антиотладчик - позволяет защитить код программы от отладки как стандартными отладчиками так и отладчиками уровня ядра. Для вирусмейкеров это весьма полезное свойство. Код троянской программы защищенный протектором, очень тяжело поддается анализу. Кроме того приложение может отказаться запускаться на компьютерах с активными антивирусами или внутри виртуальной машиной.
- Антидампер – защищает программу от снятия дампа памяти приложения и сохранения его на диск.
- Полиморфизм кода – код исходной программы подвергается полиморфной мутации. При упаковывании - код исходной программы генерируется заново, создавая бесчисленное множество вариаций одного и того же кода
Протектор Themida создавался для защиты коммерческих программ, но особенности его работы куда более подходят для упаковывания кода троянских и других вредоносных программ.
Семейство Trojan.Black.Win32 – это семейство вредоносных программ упакованных протектором Themida. Протектором может быть упакованная любая троянская программа, поэтому семейство Trojan.Black не имеет своих отличительных особенностей, кроме типа упаковщика.