Nume:W32/Virut.I
Descoperit pe data de:18/04/2007
Tip:File Infector
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu spre ridicat
Fisier static:Nu
Versiune IVDF:6.38.01.06 - Mittwoch, 18. April 2007

 General Alias:
   •  Kaspersky: Virus.Win32.Virut.n
   •  TrendMicro: PE_VIRUT.XB
   •  Sophos: W32/Vetor-A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Infecteaza fisiere
   • Posibilitatea accesului neautorizat la computer

 Fisiere Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://64.**********.26/pk/ucsp0416.exe?t=0.4085156
Fisierul este stocat pe hard disc la: %TEMPDIR%\VRT7.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/ATRAPS.Gen

 Registrii sistemului Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • %SYSDIR%\winlogon.exe

 Infectie de fisiere Tip de infector:

Embedded - Virusul isi insereaza codul malitios in unul sau mai multe locuri in interiorul fisierului infectat.


Evitarea detectiei:

Polimorfism - Intregul cod viral se schimba la fiecare infectie. Virusul contine un motor polimorfic.


Metoda:

Virusul ramane activ in memorie in timp ce infecteaza fisiere.


Urmatoarele fisiere sunt infectate:

Dupa tipul fisierelor:
   • *.exe
   • *.scr
   • *.htm
   • *.html

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: proxim.ircgalaxy.pl
Canal: #virtu

Server: irc.zief.pl
Canal: #virtu



– Acest malware poate obtine si trimite urmatoarele informatii:
    • Adresele de email colectate


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • winlogon.exe


 Tehnologie Rootkit  Metoda folosita:
• System Service Descriptor Table (SSDT) Hook

Se ataseaza la urmatoarele functii API:
   • NtCreateFile
   • NtCreateProcess
   • NtCreateProcessEx
   • NtOpenFile
   • NtQueryInformationProcess

Die Beschreibung wurde erstellt von Razvan Olteanu am Montag, 19. April 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 21. April 2010

zurück . . . .