Name:W32/Virut.I
Entdeckt am:18/04/2007
Art:File Infector
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel bis hoch
Statische Datei:Nein
IVDF Version:6.38.01.06 - Mittwoch, 18. April 2007

 General Aliases:
   •  Kaspersky: Virus.Win32.Virut.n
   •  TrendMicro: PE_VIRUT.XB
   •  Sophos: W32/Vetor-A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Infiziert Dateien
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://64.**********.26/pk/ucsp0416.exe?t=0.4085156
Diese wird lokal gespeichert unter: %TEMPDIR%\VRT7.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/ATRAPS.Gen

 Registry Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • %SYSDIR%\winlogon.exe

 Dateiinfektion Art des Infektors:

Eingebettet - Der Virus fügt seinen Code verteilt in die ganze Datei ein. (An einer oder mehreren Stellen)


Selbst-Modifikation:

Polymorph - Der gesamte virulente Code verändert sich von einer Infektion zur nächsten. Der Virus enthält eine polymorphe Engine.


Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe
   • *.scr
   • *.htm
   • *.html

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: proxim.ircgalaxy.pl
Channel: #virtu

Server: irc.zief.pl
Channel: #virtu



– Dieser Schädling hat die Fähigkeit folgende Information zu sammeln und zu übermitteln:
    • Gesammelte Email Adressen


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • Datei herunterladen
    • Datei ausführen

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • winlogon.exe


 Rootkit Technologie Eingesetzte Methode:
• System Service Descriptor Table (SSDT) Hook (de)

Klinkt sich in folgende API-Funktionen ein:
   • NtCreateFile
   • NtCreateProcess
   • NtCreateProcessEx
   • NtOpenFile
   • NtQueryInformationProcess

Die Beschreibung wurde erstellt von Razvan Olteanu am Montag, 19. April 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 21. April 2010

zurück . . . .