Virus.Win32.Ultratt

Класс Virus
Платформа Win32
Описание

Technical Details

Нерезидентный Win32-вирус, заражает выполняемые файлы Windows и распространяет свои копии по IRC-каналам. Вирус заражает файлы с расширениями EXE, SCR, CPL, OCX, которые ищет в текущем каталоге, каталоге Windows и в системном каталоге Windows. Известна только одна версия вируса,
которая является «отладочной»: вирус заражает только те файлы, имена которых начинаются с символа ‘1’.

Для распространения по каналам IRC вирус создает зараженный файл C:MUTT.EXE и посылает его всем пользователям, которые подключаются к каналу. Для этого вирус записывает специальные скрипты в управляющие файлы mIRC и PIRCH (SCRIPT.INI и EVENTS.INI).

Вирус использует анти-отладочные приемы и завешивает систему при попытке трассировки кода вируса.

По 15-м числам ежемесячно вирус модифицирует одну из записей системного реестра так, что диски A: и B: становятся невидимы в Explorer. Затем вирус выводит окно сообщения:

[Win32.Mutt v1.00]
Mutt by ULTRAS[MATRiX] (c) 2000
Thanx: [MATRiX] VX TeAm: mort, NBK, anaktos, Del_Armg0, Lord Dark…
Greetz: all VX scene

Вирус уничтожает антивирусные файлы данных:

AVP.CRC, ANTI-VIR.DAT, CHKLIST.MS, IVB.NTZ, NOD32.000, TBSCAN.SIG, AP.VIR

Вирус также содержит процедуру, которая принудительно завершает работу нескольких антивирусов, однако эта процедура никогда не получает управления. Список антивирусов выглядит следующим образом:

AVP Monitor
Amon Antivirus Monitor
AVG Control Center
Avast32 — Rezidentn╓ podpora
Antiv╓rusovд monitor Amon
Norton AntiVirus