PE_VIRUX.AA-1
Symantec : W32.Changeup; Microsoft : Virus:Win32/Virut.BI;Mcafee: W32/Virut.n.gen
Windows 2000, XP, Server 2003
Tipo de malware
File infector
Destructivo?
No
Cifrado
Sí
In the Wild:
Sí
Resumen y descripción
Puede haberlo infiltrado otro malware. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Se conecta a servidores de IRC.
Detalles técnicos
Detalles de entrada
Puede haberlo infiltrado otro malware.
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Instalación
Este malware inyecta subprocesos en el/los siguiente(s) proceso(s) normal(es):
- WINLOGON.EXE
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_USERS\.DEFAULT\SOFTWARE\
Microsoft\Windows\CurrentVersion\
Explorer
UpdateHost = {random binary value}
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = \??\%System\winlogon.exe:*:enabled:@shell32.dll,-1
Infección de archivo
Infecta los siguientes tipos de archivo:
- EXE
- SCR
Evita infectar archivos que contienen las cadenas siguientes en sus nombres:
- OTSP
- WC32
- WCUN
- WINC
Rutina de puerta trasera
Se conecta a alguno de los siguientes servidores de IRC:
- ilo.{BLOCKED}z.pl
- ant.{BLOCKED}z.pl
Otros detalles
Según el análisis de los códigos, tiene las siguientes capacidades:
- This file infector infects target host files via EPO-Appending infection technique.
- It hooks the following APIs so that when these APIs are called, the virus code is executed which will then infect files:
- NtCreateFile
- NtOpenFile
- NtCreateProcess
- NtCreateProcessEx
- NtQueryInformationProcess
- It does not infect files with the following characteristics:
- .DLL files
- PE Files with _win section name
- Files with infection marker
- It also infects script files by first checking if the target script file's extension name is any of the following:
- ASP
- HTM
- PHP
- Once it finds target script files, it creates a flag for the file for iFrame infection. It opens flagged files then checks for a certain string in the file. If it finds that string, it skips the file. If not, then it proceeds with the infection of the file.
- It then looks for the string