Kaspersky Threats — UPXScrambler

Класс

Платформа

Описание

Technical Details

Вирус-червь, заражающий EXE-файлы Windows, распространяющий свои копии по каналам
IRC и распространяющий зараженные письма при помощи MS Outlook. Является 70-килобайтным
EXE-файлов Windows, написан на Microsoft Visual C++.

При запуске зараженного файла вирус создает свой «дроппер» (только код вируса
— без кода файла-носителя) в системном каталоге Windows. Этот файл имеет случайное
имя из пяти символов, например: HIJDE.EXE. Этот файл затем используется для
заражения IRC-каналов и рассылки инфицированных писем.

Затем вирус ищет EXE-файлы в каталоге Windows и заражает их. При заражении
сдвигает содержимое файла вниз, а свой код записывает в начало файла. Не заражает
файлы с именами, начинающимиися на символы: E, P, R, T, W. Затем вирус заражает
все файлы в каталоге C:MIRCDOWNLOAD , если таковой присутствует с системе.

После этого вирус переходит к заражению клиента mIRC. Для этого вирус ищет
mIRC-клиента в каталогах:

mirc
PROGRA~1 mirc

на всех дисках от C: до F: и записывает туда новый файл SCRIPT.INI. Этот файл
содержит команды, которые отсылают «дроппер» вируса всем, кто подключается к
зараженному каналу.

Затем вирус рассылает зараженные письма электронной почты. Для этого вирус
создает временный файл SCRAMBLER.VBS, записывает в него скрипт-программу, выполняет
этот файл и уничтожает его. VBS-программа при запуске открывает MS Outlook,
выбирает первые 90 адресов из адресной книги и рассылает по ним «дроппер» вируса.
Текст сообщения в зараженных письмах отсутствует, а поле «Subject» выглядит
следующим образом:

Check this out, it’s funny!

Вирус затем создает файл WINSTART.BAT в каталоге Windows и записывает в него
команды, которые при запуске очищают экран и выводят текст:

Today..
I’m going to scramble your mind..

Вирус также создает файл SCRAM.EXE и записывает в него строки:

Scrambler
by Gigabyte

Вирус также ищет и портит .MP3-файлы.

Узнай статистику распространения угроз в твоем регионе

Класс	VirTool
Платформа	Win32
Описание	Technical Details Вирус-червь, заражающий EXE-файлы Windows, распространяющий свои копии по каналам IRC и распространяющий зараженные письма при помощи MS Outlook. Является 70-килобайтным EXE-файлов Windows, написан на Microsoft Visual C++. При запуске зараженного файла вирус создает свой «дроппер» (только код вируса — без кода файла-носителя) в системном каталоге Windows. Этот файл имеет случайное имя из пяти символов, например: HIJDE.EXE. Этот файл затем используется для заражения IRC-каналов и рассылки инфицированных писем. Затем вирус ищет EXE-файлы в каталоге Windows и заражает их. При заражении сдвигает содержимое файла вниз, а свой код записывает в начало файла. Не заражает файлы с именами, начинающимиися на символы: E, P, R, T, W. Затем вирус заражает все файлы в каталоге C:MIRCDOWNLOAD , если таковой присутствует с системе. После этого вирус переходит к заражению клиента mIRC. Для этого вирус ищет mIRC-клиента в каталогах: mirc PROGRA~1 mirc на всех дисках от C: до F: и записывает туда новый файл SCRIPT.INI. Этот файл содержит команды, которые отсылают «дроппер» вируса всем, кто подключается к зараженному каналу. Затем вирус рассылает зараженные письма электронной почты. Для этого вирус создает временный файл SCRAMBLER.VBS, записывает в него скрипт-программу, выполняет этот файл и уничтожает его. VBS-программа при запуске открывает MS Outlook, выбирает первые 90 адресов из адресной книги и рассылает по ним «дроппер» вируса. Текст сообщения в зараженных письмах отсутствует, а поле «Subject» выглядит следующим образом: Check this out, it’s funny! Вирус затем создает файл WINSTART.BAT в каталоге Windows и записывает в него команды, которые при запуске очищают экран и выводят текст: Today.. I’m going to scramble your mind.. Вирус также создает файл SCRAM.EXE и записывает в него строки: Scrambler by Gigabyte Вирус также ищет и портит .MP3-файлы.
	Узнай статистику распространения угроз в твоем регионе

VirTool.Win32.UPXScrambler

Technical Details