Virus.Win32.Virut

Дата обнаружения 23/10/2007
Класс Virus
Платформа Win32
Описание

Вирус добавляет исполняемый файл процесса, в котором работает в список доверенных приложений Windows Firewall.

Отключает функцию восстановления системных файлов.

Вирус пытается соединиться со следующими IRC серверами:




prox*****ircgalaxy.pl



irc*****ef.pl



если ему это удается, посылает серверу следующие команды:




NICK dewxxpyi



USER b



JOIN #., где rnd1 – случайное число



После этого вирус переходит в режим приема команд от IRC сервера злоумышленников и выполняет их.

Вирус поддерживает следующие команды :

— !get — загрузка из интернет вредоносного кода и внедрение его в процессы на машине пользователя.

— !hosu — открытие указанных URL с компьютера пользователя.

Так же вирус сканирует жесткий диск компьютера в поисках файлов с расширениями




HTM



PHP



ASP



и если находит вставляет в них следующую строку:

Например Virus.Win32.Virut.a:

Вирус, заражающий исполняемые файлы Windows. Полиморфный зашифрованный вирус. Размер тела — 5128 байт.

При запуске вирус получает список процессов в системе и внедряет свой код в процесс, который находится на 4-й позиции в списке, после чего заражает и сам исполняемый файл процесса.

Вирус заражает файлы с расширениями .EXE и .SCR, которые являются приложениями Windows (PE EXE). Вирус не заражает файлы, которые содержат в своем имени одну из следующих строк:

PSTO



WC32



WCUN



WINC

При заражении вирус расширяет последнюю секцию исполняемого файла, записывает в неё свое тело и перенаправляет точку входа программы на свое тело.

Вирус пытается соединиться с IRC-сервером pro****.ircgalaxy.pl. Если ему это удается, то вирус принимает команды по IRC от злоумышленника и выполняет их.

Вирус поддерживает следующие команды:

  • загрузка из интернета вредоносного кода и внедрение его в процессы пользователя;
  • открытие указанных URL с компьютера пользователя.