Security Lab

Virus.Win32. Virut.a

Virus.Win32. Virut.a

Вирус, заражающий исполняемые файлы Windows. Полиморфный зашифрованный вирус.

Вирус, заражающий исполняемые файлы Windows. Полиморфный зашифрованный вирус. Размер тела — 5128 байт.

При запуске вирус получает список процессов в системе и внедряет свой код в процесс, который находится на 4-й позиции в списке, после чего заражает и сам исполняемый файл процесса.

Вирус заражает файлы с расширениями .EXE и .SCR, которые являются приложениями Windows (PE EXE). Вирус не заражает файлы, которые содержат в своем имени одну из следующих строк:

PSTO
WC32
WCUN
WINC

При заражении вирус расширяет последнюю секцию исполняемого файла, записывает в неё свое тело и перенаправляет точку входа программы на свое тело.

Вирус пытается соединиться с IRC-сервером pro****.ircgalaxy.pl. Если ему это удается, то вирус принимает команды по IRC от злоумышленника и выполняет их.

Вирус поддерживает следующие команды:

* загрузка из интернета вредоносного кода и внедрение его в процессы пользователя;

* открытие указанных URL с компьютера пользователя.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!