Virus.Win32.Devir

Класс Virus
Платформа Win32
Описание

Technical Details

Резидентный полиморфный Win32-вирус. Заражает PE EXE файлы с расширением имени EXE. При заражении записывает свой зашифрованный код в конец файла, затем шифрует часть кода файла и записывает его также в конец файла, а в образовавшееся место записывает свой полиморфик-код. При запуска файла полиморфик-код получает управление, частично восстанавливает основной код вируса и передает на него управление. Расположенный в основном теле вируса дополнительный цикл расшифровки полностью восстанавливает код вируса и передает на него управление (см. также вирус
Win32.Driller). В некоторых случаях при заражении код файла-жертвы частично компрессируется (пакуется) и размер зараженного файла
остается без изменений.

При запуске вируса он ищет PE EXE-файлы в текущем каталоге и заражает их. Затем вирус остается в памяти Windows как часть зараженной программы, получает доступ к ядру Windows и перехватывает 10 функций работы с файлами:
поиск, открытие, копирование файлов и т.п. При этих вызовах, если работа идет с PE EXE-файлами, вирус заражает их. В результате все PE EXE-файлы, к которым обращается зараженная программа оказываются зараженными. Вирус
также перехватывает переход в новый каталог — и заражает там PE EXE-файлы.

Вирус также содержит Backdoor-процедуру, которая открывает Интернет-соединение, ждет подключения «хозяина» и затем выполняет его команды: принимает/отсылает файлы, запускает файлы на выполнение, передает информацию о системе и т.п.

Вирус содержит текст-«копирайт»:

Intruder v.0.1 by Deviator//HAZARD