VírusW32/Virut.I
Data em que surgiu:18/04/2007
Tipo:File infector
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De médio a elevado
Ficheiro estático:Não
Versão IVDF:6.38.01.06 - quarta-feira, 18 de abril de 2007

 Vulgarmente Alias:
   •  Kaspersky: Virus.Win32.Virut.n
   •  TrendMicro: PE_VIRUT.XB
   •  Sophos: W32/Vetor-A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Infects files (pt)
   • Possibilita acesso não autorizado ao computador

 Ficheiros Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://64.**********.26/pk/ucsp0416.exe?t=0.4085156
Encontra-se no disco rígido: %TEMPDIR%\VRT7.tmp Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/ATRAPS.Gen

 Registry (Registo do Windows) Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • %SYSDIR%\winlogon.exe

 Infecção de ficheiros Infector type: (pt)

Infector embedded (pt)


Self Modification (pt)

Infector polymorphic (pt)


Forma:

Contém uma ligação para outro malware.


The following files are infected (P) (pt)

By file type (pt)
   • *.exe
   • *.scr
   • *.htm
   • *.html

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: proxim.ircgalaxy.pl
Canal #virtu

Servidor: irc.zief.pl
Canal #virtu



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Endereços de E-mail recolhidos


– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • winlogon.exe


 Tecnologia de Rootkit Forma utilizada
• System Service Descriptor Table (SSDT) Hook (pt)

Bloqueia as seguintes funções API:
   • NtCreateFile
   • NtCreateProcess
   • NtCreateProcessEx
   • NtOpenFile
   • NtQueryInformationProcess

Descrição enviada por Razvan Olteanu em segunda-feira, 19 de abril de 2010
Descrição atualizada por Andrei Ivanes em quarta-feira, 21 de abril de 2010

Voltar . . . .