Virus.Win32.Glyn

Technical Details

Файловый вирус. Представляет собой Windows PE EXE-файл. Имеет размер 8192 байта.

При запуске вирус заражает все EXE-файлы в текущем каталоге и во всех родительских каталогах вплоть до корневого.

Процедура заражения

После запуска вирус ищет файлы с расширением .exe в текущем и во всех родительских каталогах. При заражении использует следующую технику:

1. создаёт свою копию в текущем каталоге с именем GLYVEN.$$$;
2. записывает по смещению 0x2000 байт в GLYVEN.$$$ заражаемый EXE-файл и при этом шифрует его;
3. удаляет заражаемый файл, а GLYVEN.$$$ переименовывает в него.

Вирус не заражает файлы, размер которых меньше 8192 байт и файлы, которые начинаются со следующих строк:

00
AAAA
AV
EMM3
EXPL
NET
PROG
RUND

Payload

После инфицирования вирус создает в корневом каталоге скрытый файл с именем GLYVxxxx.exe, где xxxx — число, вычисляемое по специальному алгоритму. Извлекает из инфицированного файла оригинальный EXE-файл, расшифровывает его и запускает этот файл на исполнение.

После завершения работы файл GLYVxxxx.exe не удаляется. В результате чего в корневом каталоге может скопиться множество скрытых файлов с именами вида GLYVxxxx.exe.

Из-за ошибки в реализации возможно повторное заражение инфицированного файла.

В случае если вирус будет запущен 14 числа любого месяца, то на экране зараженного компьютера появляется следующее сообщение:

После чего зараженный компьютер завершает свою работу.

Вирус содержит строку: