Virus.Win32.Initx

Класс Virus
Платформа Win32
Описание

Technical Details

Безобидный Win32 вирус, резидентный на время жизни заражённого процесса. Заражает файлы формата Portable executable (PE) с расширением «.EXE». Состоит из двух частей: процедуры-загрузчика, записанной в заражённые
файлы, и динамически компонуемой библиотеки (DLL) с именем «initx.dat».


Размножение

Вирус ищет и пытается заразить файлы с расширением «.EXE» в директории
Windows, системной директории Windows, а также во всех доступных по сети
директориях данного компьютера. Если имя компьютера начинается с «CT» в
любом регистре, то вирус заражает только файлы в доступных по сети
директориях.

При заражении вирус создаёт копию своей библиотеки в директории, где
находится заражаемый файл, с именем «initx.dat». Затем вирус дописывает к
секции кода файла процедуру-загрузчик длиной 28 байт, таким образом
заражённый файл при запуске активизирует вирус как библиотеку «initx.dat».
Процедура записывается в свободное пространство секции кода так, что
размер файла остаётся прежним.

Процесс заражения выглядит следующим образом:

 Заражённая директория        Заражаемая директория
 ---------------------        ---------------------
  файл1                        файл4
  файл2                        файл5
  ...                          ...
  заражённый файл.exe          файл-жертва.exe    <--- в файл дописывается
                                                       28-байтная процедура
                                                       загрузки вируса

  initx.dat            -->     initx.dat          <--- копия основной 
                                                       части вируса


Другое

Вирус пытается найти и соединиться по сети с компьютером, имеющим имя "ct". Если соединение установлено успешно, то вирус посылает по сети имя заражённого компьютера. Также, он открывает доступ к директории Windows как к сетевому ресурсу с именем "ADMIN$".