Virus.Win32.Driller

Класс Virus
Платформа Win32
Описание

Technical Details

Резидентный полиморфный Win32-вирус. Заражает PE EXE файлы с расширениями .EXE, .SCR и.CPL. При заражении записывает свой зашифрованный код в конец файла, затем шифрует часть кода файла и записывает его также в конец файла, а в образовавшееся место записывает свой полиморфик-код. При запуске файла полиморфик-код получает управление, частично восстанавливает основной код вируса и передает на него управление. Расположенный в основном теле вируса дополнительный цикл расшифровки полностью восстанавливает код вируса и передает на него управление:

Заражение файла

 -=============-        -==============-
 |Заголовок    |        |Заголовок     |
 |-------------|        |--------------| <---- Стартовый адрес программы
 |Секция кода  | ----   |Полиморфный   |
 |             |    |   |код           | ----- Переход на основной код вируса
 |             |    |   |--------------|     |
 |             |    |   |              |     |
 |-------------|    |   |--------------|     |
 |Секции данных|    |   |Секции данных |     |
 |             |    |   |              |     |
 |-------------|    |   |--------------|     |
 |Прочее       |    |   |Прочее        |     |
 -=============-    |   |==============-     |
                    |   |Зашифрованный | <----
                    |   |код вируса    |
                    |   |--------------| 
                    --> |Зашифрованная |
                        |секция кода   | 
                        -==============- 

При запуске вируса он ищет PE EXE-файлы в текущем каталоге, каталоге Windows, системном каталоге Windows и заражает их.

Затем вирус остается в памяти Windows как часть зараженной программы, получает доступ к ядру Windows и перехватывает 15 функций работы с файлами:
поиск, открытие, копирование файлов и т.п. При этих вызовах, если работа идет с PE EXE-файлами, вирус заражает их. В результате все PE EXE-файлы, к которым обращается зараженная программа оказываются зараженными.

Полиморфик-генератор вируса содержит ошибки, в результате которых некоторые файлы при заражении оказываются испорченными.

По пятницам и в зависимости от текущей даты вирус устанавливает у MS Internet Explorer и Netscape Navigator новый адрес стартовой Web-страницы:

http://www.thehungersite.com

Вирус также содержит текст-«копирайт»:

[Virus TUAREG by The Mental Driller|29A]
— This virus has been designed for carrying the TUAREG engine —