Security Lab

Win32.Killis.a

Win32.Killis.a

Примитивный зашифрованный нерезидентный Win32-вирус.

Примитивный зашифрованный нерезидентный Win32-вирус.

Ищет и заражает приложения Win32 (PE EXE-файлы) по маскам "*.?XE" и "*.SC?". Поиск вирус осуществляет в текущем каталоге, каталоге Windows и системном каталоге Windows.

Вирус дописывает 1774 байта своего шифрованного вирусного кода в конец заражаемого файла. Повторно файлы не заражает.

Заражает только исполняемые файлы, которые предназначены для i386-процессора. Не заражает динамические библиотеки.

Вирус никак не проявляет своего присутствия в системе.

Дроппер вируса содержит строки:

-xX[ Kallist - cH4R_ presents ]Xx-
  =wW( https://vx.helith.net/~charvx )Ww=
  Pirateright (P) 2004-2005, cH4R_ , NO rightz reserved.
  Kallist - From the Greek mitology to your computer.

Также дроппер имеет секцию с именем "Kallisti".

Признаком заражения может являться строка:

Kallisti, by cH4R_

Строка эта вирусом не шифруется и присутствует в открытом виде в конце инфицированных им файлов.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!