PE_VIRUT
Publish Date: 24 de lipca de 2013
Virut
PLATFORM:
Windows 2000, Windows XP, Windows Server 2003
OVER ALL RISK RATING:
DAMAGE POTENTIAL::
DISTRIBUTION POTENTIAL::
REPORTED INFECTION:
Low
Medium
High
Critical
Threat Type:
File infector
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
INFECTION CHANNEL: Infecta archivos, Se propaga vía redes compartidas, Se propaga vía unidades extraíbles
TECHNICAL DETAILS
Memory resident: Yes
PAYLOAD: Downloads files, Terminates security-related applications, Compromises system security, Modifies HOSTS file
Instalación
Infiltra los archivos siguientes:
- %Windows%\{random file name}.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random registry key name}
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = "\??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1"
Rutina de puerta trasera
Se conecta a uno de los servidores de IRC siguientes:
- irc.{BLOCKEDf.pl