Name:W32/Virut.G
Entdeckt am:18/04/2007
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel bis hoch
Statische Datei:Nein
IVDF Version:6.38.01.08 - Mittwoch, 18. April 2007

 General Verbreitungsmethode:
   • Infiziert Dateien


Aliases:
   •  Kaspersky: Virus.Win32.Virut.n
   •  Sophos: W32/Vetor-A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Infiziert Dateien
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.
– Die letzte section der Datei wurde modifiziert und enthält virulenten Code.


Selbst-Modifikation:

Polymorph - Der gesamte virulente Code verändert sich von einer Infektion zur nächsten. Der Virus enthält eine polymorphe Engine.


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.


Die folgende Datei ist infiziert:

Nach Dateiname:
   • *.exe

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: pr**********m.ntkrnlpa.info
Channel: virtu3


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • Datei herunterladen
    • Datei ausführen

 Injektion – It injects itself into processes. (de)

It is injected into all processes. (de)


 Rootkit Technologie Eingesetzte Methode:
    • Unsichtbar von Windows API

Klinkt sich in folgende API-Funktionen ein:
   • NtCreateFile
   • NtCreateProcess
   • NtCreateProcessEx
   • NtOpenFile

Die Beschreibung wurde erstellt von Razvan Olteanu am Mittwoch, 21. April 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 27. Mai 2010

zurück . . . .