Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

É um inofensivo vírus Win32 parasítico não-residente. Ele procura por arquivos executáveis PE do Windows32 no diretório atual e os infecta. O vírus funciona no Windows 95/98 e no Windows NT.

Quando um programa infectado é executado, o vírus recebe controle e procura endereços da API do Windows32. Primeiramente, ele verifica o código KERNEL e procura pelo endereço da função GetProcAddress. Quando esta função está localizada, o vírus usando esse endereço obtém ponteiros para nove outras funções:



CreateFileA, CreateFileMappingA, MapViewOfFile, CloseHandle,

FindFirstFileA, FindNextFileA, FindClose, UnmapViewOfFile, SetEndOfFile

Ao usar essas chamadas, o vírus procura arquivos e os infecta. Enquanto infecção, o vírus incorpora seu código no meio do arquivo ao final da primeira seção. O vírus procura lacunas na imagem virtual do arquivo: se houver espaço livre suficiente entre a primeira e a segunda seção na imagem virtual (endereços na memória, não no arquivo de disco – o vírus evita seções sobrepostas ao carregar o arquivo na memória) o vírus desloca o restante do arquivo em 1024 bytes, grava seu código nessa cavidade, modifica o endereço do ponto de entrada e corrige cabeçalhos de seção.

O vírus tem um bug que causa infecção dupla. Apesar disso, os arquivos infectados funcionam sem nenhum problema.

O vírus contém a string de texto que dá o seu nome:



MurkryIKX

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Trojan-Banker
Plataforma	Win32
Descrição	Detalhes técnicos É um inofensivo vírus Win32 parasítico não-residente. Ele procura por arquivos executáveis PE do Windows32 no diretório atual e os infecta. O vírus funciona no Windows 95/98 e no Windows NT. Quando um programa infectado é executado, o vírus recebe controle e procura endereços da API do Windows32. Primeiramente, ele verifica o código KERNEL e procura pelo endereço da função GetProcAddress. Quando esta função está localizada, o vírus usando esse endereço obtém ponteiros para nove outras funções: CreateFileA, CreateFileMappingA, MapViewOfFile, CloseHandle, FindFirstFileA, FindNextFileA, FindClose, UnmapViewOfFile, SetEndOfFile Ao usar essas chamadas, o vírus procura arquivos e os infecta. Enquanto infecção, o vírus incorpora seu código no meio do arquivo ao final da primeira seção. O vírus procura lacunas na imagem virtual do arquivo: se houver espaço livre suficiente entre a primeira e a segunda seção na imagem virtual (endereços na memória, não no arquivo de disco – o vírus evita seções sobrepostas ao carregar o arquivo na memória) o vírus desloca o restante do arquivo em 1024 bytes, grava seu código nessa cavidade, modifica o endereço do ponto de entrada e corrige cabeçalhos de seção. O vírus tem um bug que causa infecção dupla. Apesar disso, os arquivos infectados funcionam sem nenhum problema. O vírus contém a string de texto que dá o seu nome: MurkryIKX
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Trojan-Banker.Win32.IKX

Detalhes técnicos