Имя:W32/Virut.I
Обнаружен:18/04/2007
Вид:Файловый вирус
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От среднего до высокого
Файл статистики:Нет
Версия IVDF:6.38.01.06 - среда, 18 апреля 2007 г.

 Общее Псевдонимы (аliases):
   •  Kaspersky: Virus.Win32.Virut.n
   •  TrendMicro: PE_VIRUT.XB
   •  Sophos: W32/Vetor-A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Infects files (ru)
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Попытка загрузки следующего файла:

– Следующий URL:
   • http://64.**********.26/pk/ucsp0416.exe?t=0.4085156
Сохраняется локально в: %TEMPDIR%\VRT7.tmp Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/ATRAPS.Gen

 Реестр Создание следующего элемента для "обхода" брандмауера Windows XP:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • %SYSDIR%\winlogon.exe

 Инфицирование файлов Infector type: (ru)

Infector embedded (ru)


Self Modification (ru)

Infector polymorphic (ru)


Метод:

Данный резидентный вирус остаются активным в памяти.


The following files are infected (P) (ru)

By file type (ru)
   • *.exe
   • *.scr
   • *.htm
   • *.html

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: proxim.ircgalaxy.pl
Канал: #virtu

Сервер: irc.zief.pl
Канал: #virtu



– Вредоносный объект имеет способность собирать и передавать следующую информацию:
    • Собранные электронные адреса


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Запустить файл

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • winlogon.exe


 Технология Rootkit Используемый метод:
• System Service Descriptor Table (SSDT) Hook (ru)

Внедряется в следующие API-функции:
   • NtCreateFile
   • NtCreateProcess
   • NtCreateProcessEx
   • NtOpenFile
   • NtQueryInformationProcess

Описание добавил Razvan Olteanu в(о) понедельник, 19 апреля 2010 г.
Описание обновил Andrei Ivanes в(о) среда, 21 апреля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.