PE_VIRUT
Publish date: 24 de julio de 2013
Alias
Virut
Plataforma:
Windows 2000, Windows XP, Windows Server 2003
Riesgo general:
Potencial de destrucción:
Potencial de distribución:
Infección divulgada:
Bajo
Medio
High
Crítico
Tipo de malware
File infector
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Canal de infección Infecta archivos, Se propaga vía redes compartidas, Se propaga vía unidades extraíbles
Detalles técnicos
Residente en memoria Sí
Carga útil Downloads files, Terminates security-related applications, Compromises system security, Modifies HOSTS file
Instalación
Infiltra los archivos siguientes:
- %Windows%\{random file name}.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random registry key name}
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = "\??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1"
Rutina de puerta trasera
Se conecta a uno de los servidores de IRC siguientes:
- irc.{BLOCKEDf.pl