Вирусная лаборатория Avira

W32/Virut.Gen

  • Имя
    W32/Virut.Gen
  • Date discovered
    12 окт. 2015 г.
  • Тип
    Malware
  • Воздействие
    Высокий 
  • Сообщения о заражении
    Низкий 
  • Операционная система
    Windows

Термин 'W32' обозначает вирус, который запускается на 32-разрядных системах Windows и заражает файлы.

Групповая функция обнаружения для распознавания общих фамильных признаков различных вариантов.Данная функция обнаружения была разработана для распознавания неизвестных вариантов. Она постоянно развивается и совершенствуется.

  • Alias
    Avast: BV:Agent-AMB
    AVG: Win32/Virut
    Dr. Web: Win32.Virut.56
    F-PROT: W32/Sality.D.gen!Eldorado (generic, not disinfectable)
    Trend Micro: PE_VIRUX.S
    Microsoft: Virus:Win32/Virut.BN
    G Data: Win32.Virtob.Gen.12
    Kaspersky Lab: Virus.Win32.Virut.ce
    Bitdefender: Win32.Virtob.Gen.12
    ESET: Win32/Virut.NBP virus
  • Файлы
    Следующие файлы изменены:
    • %SYSDIR%\drivers\etc\hosts
    • %SYSDIR%\userinit.exe
    • %SYSDIR%\cmd.exe
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %WINDIR%\Prefetch\CMD.EXE-087B4001.pf
    • %SYSDIR%\wbem\Logs\wbemcore.log
    • %WINDIR%\Prefetch\REGEDIT.EXE-1B606482.pf
    • %WINDIR%\Prefetch\WMIPRVSE.EXE-28F301A9.pf
    Следующие файлы созданы:
    • %TEMPDIR%\~4E.tmp
    • %TEMPDIR%\~4E.bat
    Следующие файлы удалены:
    • %TEMPDIR%\~4E.bat
  • Встраиваемые модули
    • \??\%SYSDIR%\winlogon.exe
    • %SYSDIR%\services.exe
    • %SYSDIR%\lsass.exe
    • %PROGRAM FILES%\VMware\VMware Tools\vmacthlp.exe
    • %SYSDIR%\svchost.exe
    • %WINDIR%\System32\svchost.exe
    • %WINDIR%\Explorer.EXE
    • %SYSDIR%\spoolsv.exe
    • %PROGRAM FILES%\FileZilla Server\FileZilla Server Interface.exe
    • %PROGRAM FILES%\VMware\VMware Tools\VMwareTray.exe
    • %PROGRAM FILES%\VMware\VMware Tools\vmtoolsd.exe
    • %PROGRAM FILES%\FileZilla Server\FileZilla Server.exe
    • %WINDIR%\System32\alg.exe
    • %SYSDIR%\wscntfy.exe
    • %PROGRAM FILES%\Java\jre7\bin\jqs.exe
    • %PROGRAM FILES%\WinPcap\rpcapd.exe
  • Реестр
    Изменяются следующие ключи реестра:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SFC ("ProgramFilesDir": "%PROGRAM FILES%"; "CommonFilesDir": "%PROGRAM FILES%\Common Files")
    Добавляются следующие ключи реестра:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List ("\\??\\C:\\WINDOWS\\system32\\winlogon.exe": "\??\%SYSDIR%\winlogon.exe:*:enabled:@shell32.dll,-1")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch ("Epoch": dword:00000017)

Чтобы сделать Интернет безопаснее, отправляйте нам подозрительные файлы и URL-адреса для анализа.

Отправить файл или URL-адрес или Перейти к Avira Answers

Зачем отправлять подозрительные файлы?

Если вы обнаружили подозрительный файл или веб-сайт, которого нет в нашей базе данных, мы проанализируем его и определим, является ли он вредоносным. Затем результаты анализа получат миллионы наших пользователей при следующем обновлении базы данных по вирусам. Если у вас установлено приложение Avira, вы тоже получите такое обновление. У вас не установлено приложение Avira? Загрузите его с нашей домашней страницы.

Что такое Avira Answers?

Это наше активно развивающееся сообщество технических профессионалов и внештатных экспертов, работающих совместно для решения технических проблем. Это идеальная возможность задать свой вопрос сообществу таких же пользователей Avira.