Вирус, заражающий исполняемые файлы Windows. Полиморфный зашифрованный вирус.
При запуске вирус получает список процессов в системе и внедряет свой код в процесс, который находится на 4-й позиции в списке, после чего заражает и сам исполняемый файл процесса.
Вирус заражает файлы с расширениями .EXE и .SCR, которые являются приложениями Windows (PE EXE). Вирус не заражает файлы, которые содержат в своем имени одну из следующих строк:
PSTO
WC32
WCUN
WINC
При заражении вирус расширяет последнюю секцию исполняемого файла, записывает в неё свое тело и перенаправляет точку входа программы на свое тело.
Вирус пытается соединиться с IRC-сервером pro****.ircgalaxy.pl. Если ему это удается, то вирус принимает команды по IRC от злоумышленника и выполняет их.
Вирус поддерживает следующие команды:
* загрузка из интернета вредоносного кода и внедрение его в процессы пользователя;
* открытие указанных URL с компьютера пользователя.
Спойлер: она начинается с подписки на наш канал