Nome del virus:W32/Virut.I
Scoperto:18/04/2007
Tipo:File Infector
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Alto
File statico:No
Versione IVDF:6.38.01.06 - mercoledì 18 aprile 2007

 Generale Alias:
   •  Kaspersky: Virus.Win32.Virut.n
   •  TrendMicro: PE_VIRUT.XB
   •  Sophos: W32/Vetor-A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Infects files (it)
   • Accesso e controllo del computer da parte di terzi

 File Prova a scaricare un file:

– La posizione è la seguente:
   • http://64.**********.26/pk/ucsp0416.exe?t=0.4085156
Viene salvato in locale sotto: %TEMPDIR%\VRT7.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/ATRAPS.Gen

 Registro Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • %SYSDIR%\winlogon.exe

 File virale Infector type: (it)

Infector embedded (it)


Self Modification (it)

Infector polymorphic (it)


Metodo:

Questo virus rimane attivo nella memoria.


The following files are infected (P) (it)

By file type (it)
   • *.exe
   • *.scr
   • *.htm
   • *.html

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: proxim.ircgalaxy.pl
Canale: #virtu

Server: irc.zief.pl
Canale: #virtu



– Questo malware ha la capacità di raccogliere ed inviare le seguenti informazioni:
    • Indirizzi email recuperati


– In più ha la capacità di effettuare azioni quali:
    • Download di file
    • Eseguire file

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • winlogon.exe


 Tecnologia Rootkit Metodo utilizzato:
• System Service Descriptor Table (SSDT) Hook (it)

“Aggancia” le seguenti funzioni API:
   • NtCreateFile
   • NtCreateProcess
   • NtCreateProcessEx
   • NtOpenFile
   • NtQueryInformationProcess

Descrizione inserita da Razvan Olteanu su lunedì 19 aprile 2010
Descrizione aggiornata da Andrei Ivanes su mercoledì 21 aprile 2010

Indietro . . . .