Riconosciuto 30 set 2009 14:17 GMT
Data di pubblicazione 30 set 2009 21:39 GMT
Edizione 29 ott 2009 14:07 GMT
Alias
Virus.Win32.Virut.ce (Kaspersky Lab) è anche conosciuto come:
Trojan-Downloader.Win32.Virut.ce (Kaspersky Lab)
Trojan-SMS.Win32.Virut.ce (Kaspersky Lab)
Trojan.Win32.Virut.ce (Kaspersky Lab)
Hoax.Win32.Virut.ce (Kaspersky Lab)
Backdoor.Win32.Virut.ce (Kaspersky Lab)
Worm.Win32.AutoRun.FYA (Kaspersky Lab)
Backdoor.Win32.IRCBot.IHD (Kaspersky Lab)
Trojan: BackDoor-CEE.gen (McAfee)
Virus: W32/Expiro.c (McAfee)
Virus: W32/Virut.n.gen (McAfee)
W32/Scribble-B (Sophos)
Trojan.Fakefolder (ClamAV)
Worm.Autorun-1980 (ClamAV)
W32.Alman-4 (ClamAV)
W32.Virut-48 (ClamAV)
W32.Sality-27 (ClamAV)
Trojan.AutoIt-14 (ClamAV)
W32.Sality-65 (ClamAV)
BCK / Bifrost.gen (Panda)
W32/Sality.AO (Panda)
Dettagli tecnici
Questo virus infetta i file eseguibili i file di Windows. Si tratta di un codice maligno contenuto in Windows PE EXE. Il corpo del virus è di circa 17 Kb, anche se l'uso della crittografia polimorfica significa la sua dimensione può variare.
Propagazione
Il virus inietta il suo codice negli spazi l'indirizzo di tutti i processi in esecuzione nel sistema. Il codice iniettato intercetta le seguenti funzioni di sistema nella libreria ntdll.dll:
NtCreateProcess NtCreateFile NtCreateProcessEx NtQueryInformationProcess NtOpenFile
Utilizzando queste funzioni del sistema, il virus tracce dei file che vengono aperti e le applicazioni lanciate per l'esecuzione. Quando il virus rileva un nuovo processo in fase di lancio o un file eseguibile che si apre, lo infetta. File con estensione. EXE e. Estensioni SCR sono infetti. Questi file sono Windows (PE EXE) applicazioni. Il virus non infettano i file con nomi che contengono una qualsiasi delle stringhe seguenti: "Winc", "WCUN", "WC32", "PSTO". Quando un file infettato, il virus si espande la sezione del PE e scrive il proprio corpo polimorfo in esso. Esso modifica quindi punto di ingresso del programma in modo che conduce al codice del virus.
Carico utile
Il virus aggiunge il file eseguibile del processo host all'elenco firewall di Windows di applicazioni attendibili.
Poi disattiva il "Ripristino configurazione di sistema i file" la funzione.
Il virus tenta di contattare i seguenti server IRC:
prox ***** ***** irc ircgalaxy.pl ef.pl
Se una connessione viene stabilita, il virus invia comandi al server:
Poi il virus entra in modalità standby, pronto a ricevere comandi dal server IRC "maligno" ed eseguirle.
Il virus è in grado di eseguire i seguenti comandi:
La tua prima scommessa: scaricare un codice maligno da Internet e iniettare in processi in esecuzione sul computer vittima.
! Hosu: aprire gli URL specificati sul computer vittima.
Il virus esegue inoltre la scansione del disco rigido del computer della vittima per i file con le seguenti estensioni:
HTM PHP ASP
Se trovato, aggiunge una stringa
Nessun commento:
Posta un commento