PE_VIRUX.AA-1
Symantec : W32.Changeup; Microsoft : Virus:Win32/Virut.BI;Mcafee: W32/Virut.n.gen
Windows 2000, XP, Server 2003
Malware-Typ:
File infector
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Verbindet sich mit IRC-Servern (Internet Relay Chat).
Technische Details
Übertragungsdetails
Wird möglicherweise von anderer Malware eingeschleust.
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Installation
Injiziert Threads in die folgenden normalen Prozesse:
- WINLOGON.EXE
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_USERS\.DEFAULT\SOFTWARE\
Microsoft\Windows\CurrentVersion\
Explorer
UpdateHost = {random binary value}
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = \??\%System\winlogon.exe:*:enabled:@shell32.dll,-1
Dateiinfektion
Infiziert die folgenden Dateitypen:
- EXE
- SCR
Vermeidet es, Dateien zu infizieren, deren Name diese Zeichenfolgen enthält:
- OTSP
- WC32
- WCUN
- WINC
Backdoor-Routine
Verbindet sich mit einem oder mehreren der folgenden IRC-Server:
- ilo.{BLOCKED}z.pl
- ant.{BLOCKED}z.pl
Andere Details
Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:
- This file infector infects target host files via EPO-Appending infection technique.
- It hooks the following APIs so that when these APIs are called, the virus code is executed which will then infect files:
- NtCreateFile
- NtOpenFile
- NtCreateProcess
- NtCreateProcessEx
- NtQueryInformationProcess
- It does not infect files with the following characteristics:
- .DLL files
- PE Files with _win section name
- Files with infection marker
- It also infects script files by first checking if the target script file's extension name is any of the following:
- ASP
- HTM
- PHP
- Once it finds target script files, it creates a flag for the file for iFrame infection. It opens flagged files then checks for a certain string in the file. If it finds that string, it skips the file. If not, then it proceeds with the infection of the file.
- It then looks for the string