Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Резидентный полиморфный Win32-вирус. Заражает PE EXE файлы с расширением имени EXE. При заражении записывает свой зашифрованный код в конец файла, затем шифрует часть кода файла и записывает его также в конец файла, а в образовавшееся место записывает свой полиморфик-код. При запуска файла полиморфик-код получает управление, частично восстанавливает основной код вируса и передает на него управление. Расположенный в основном теле вируса дополнительный цикл расшифровки полностью восстанавливает код вируса и передает на него управление (см. также вирус
Win32.Driller). В некоторых случаях при заражении код файла-жертвы частично компрессируется (пакуется) и размер зараженного файла
остается без изменений.

При запуске вируса он ищет PE EXE-файлы в текущем каталоге и заражает их. Затем вирус остается в памяти Windows как часть зараженной программы, получает доступ к ядру Windows и перехватывает 10 функций работы с файлами:
поиск, открытие, копирование файлов и т.п. При этих вызовах, если работа идет с PE EXE-файлами, вирус заражает их. В результате все PE EXE-файлы, к которым обращается зараженная программа оказываются зараженными. Вирус
также перехватывает переход в новый каталог – и заражает там PE EXE-файлы.

Вирус также содержит Backdoor-процедуру, которая открывает Интернет-соединение, ждет подключения “хозяина” и затем выполняет его команды: принимает/отсылает файлы, запускает файлы на выполнение, передает информацию о системе и т.п.

Вирус содержит текст-“копирайт”:

Intruder v.0.1 by Deviator//HAZARD

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	Win32
Описание	Technical Details Резидентный полиморфный Win32-вирус. Заражает PE EXE файлы с расширением имени EXE. При заражении записывает свой зашифрованный код в конец файла, затем шифрует часть кода файла и записывает его также в конец файла, а в образовавшееся место записывает свой полиморфик-код. При запуска файла полиморфик-код получает управление, частично восстанавливает основной код вируса и передает на него управление. Расположенный в основном теле вируса дополнительный цикл расшифровки полностью восстанавливает код вируса и передает на него управление (см. также вирус Win32.Driller). В некоторых случаях при заражении код файла-жертвы частично компрессируется (пакуется) и размер зараженного файла остается без изменений. При запуске вируса он ищет PE EXE-файлы в текущем каталоге и заражает их. Затем вирус остается в памяти Windows как часть зараженной программы, получает доступ к ядру Windows и перехватывает 10 функций работы с файлами: поиск, открытие, копирование файлов и т.п. При этих вызовах, если работа идет с PE EXE-файлами, вирус заражает их. В результате все PE EXE-файлы, к которым обращается зараженная программа оказываются зараженными. Вирус также перехватывает переход в новый каталог – и заражает там PE EXE-файлы. Вирус также содержит Backdoor-процедуру, которая открывает Интернет-соединение, ждет подключения “хозяина” и затем выполняет его команды: принимает/отсылает файлы, запускает файлы на выполнение, передает информацию о системе и т.п. Вирус содержит текст-“копирайт”: Intruder v.0.1 by Deviator//HAZARD
	Узнай статистику распространения угроз в твоем регионе

Virus.Win32.Devir

Technical Details