Примитивный зашифрованный нерезидентный Win32-вирус.
Примитивный зашифрованный нерезидентный Win32-вирус.
Ищет и заражает приложения Win32 (PE EXE-файлы) по маскам "*.?XE" и "*.SC?". Поиск вирус осуществляет в текущем каталоге, каталоге Windows и системном каталоге Windows.
Вирус дописывает 1774 байта своего шифрованного вирусного кода в конец заражаемого файла. Повторно файлы не заражает.
Заражает только исполняемые файлы, которые предназначены для i386-процессора. Не заражает динамические библиотеки.
Вирус никак не проявляет своего присутствия в системе.
Дроппер вируса содержит строки:
-xX[ Kallist - cH4R_ presents ]Xx- =wW( https://vx.helith.net/~charvx )Ww= Pirateright (P) 2004-2005, cH4R_ , NO rightz reserved. Kallist - From the Greek mitology to your computer.
Также дроппер имеет секцию с именем "Kallisti".
Признаком заражения может являться строка:
Kallisti, by cH4R_
Строка эта вирусом не шифруется и присутствует в открытом виде в конце инфицированных им файлов.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках