Nom:W32/Virut.I
La date de la découverte:18/04/2007
Type:Infecteur de fichier
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen à élevé
Fichier statique:Non
Version IVDF:6.38.01.06 - mercredi 18 avril 2007

 Général Les alias:
   •  Kaspersky: Virus.Win32.Virut.n
   •  TrendMicro: PE_VIRUT.XB
   •  Sophos: W32/Vetor-A


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Infects files (fr)
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://64.**********.26/pk/ucsp0416.exe?t=0.4085156
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\VRT7.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/ATRAPS.Gen

 Registre Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • %SYSDIR%\winlogon.exe

 Infecteur Infector type: (fr)

Infector embedded (fr)


Self Modification (fr)

Infector polymorphic (fr)


Méthode:

Ce virus reste actif dans la mémoire.


The following files are infected (P) (fr)

By file type (fr)
   • *.exe
   • *.scr
   • *.htm
   • *.html

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: proxim.ircgalaxy.pl
Canal: #virtu

Serveur: irc.zief.pl
Canal: #virtu



– Ce Malware a l'habilité de ramasser et d'envoyer l'information suivante:
    • Les adresses email recueillies


– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • winlogon.exe


 La technologie Rootkit La méthode utilisée:
• System Service Descriptor Table (SSDT) Hook (fr)

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • NtCreateFile
   • NtCreateProcess
   • NtCreateProcessEx
   • NtOpenFile
   • NtQueryInformationProcess

Description insérée par Razvan Olteanu le lundi 19 avril 2010
Description mise à jour par Andrei Ivanes le mercredi 21 avril 2010

Retour . . . .