Nume:W32/Gobi.A
Tip:File Infector
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~32.000 Bytes

 General Metoda de raspandire:
   • Infecteaza fisiere


Alias:
   •  Symantec: W32.Gobi
   •  Mcafee: W32/Gobi.a
   •  Kaspersky: Virus.Win32.Gobi.a
   •  Sophos: W32/Gobi-A
   •  Bitdefender: Win32.Gobi.A

Fisierul lucreaza interdependent cu urmatoarele componente:
   •  BDS/Small.CQ.1


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Infecteaza fisiere
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer
Poate fi folosit de malware pentru a reduce nivelul de securitate.

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\CKKILU101



Sunt create fisierele:

– %TEMPDIR%\DABACKDOOR.EXE Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Small.CQ.1

 Infectie de fisiere Tip de infector:

Appender - Codul virusului este adaugat la sfarsitul fisierului infectat.
– Codul virusului este introdus in ultima sectiune a fisierului infectat.


Camuflaj:
 EPO (Entry Point Obscuring) - Entry Point-ul fisierului infectat ramane acelasi. Virusul modifica codul programului pentru a redirecta executia catre codul malitios.


Evitarea detectiei:

Polimorfism - Intregul cod viral se schimba la fiecare infectie. Virusul contine un motor polimorfic.


Metoda:

Virusul cauta in mod activ fisiere pe care sa le infecteze apoi isi termina executia.


Dimensiunea codului malitios adaugat:

Aproximativ 32.000 Bytes


Urmatoarele fisiere sunt infectate:

Dupa tipul fisierelor:
   • *.exe

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCR\exefile\shell\open\command]
   • @="%SYSDIR%\CKKILU101 \"%1\" %*"

Description inserted by Daniel Constantin on Thursday, February 18, 2010
Description updated by Daniel Constantin on Thursday, February 18, 2010

Back . . . .