RSS-каналы
Уровень опасности: 1
Virus.Win32.Virut.p
| Время детектирования | 11 сен 2007 15:21 MSK |
| Время выпуска обновления | 11 сен 2007 15:21 MSK |
| Описание опубликовано | 02 ноя 2009 12:33 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вредоносная программа, которая находит и заражает исполняемые файлы на компьютере пользователя. Размер оригинального вредоносного файла – 94 208 байт. Ничем не упакована.
Деструктивная активность
Вредонос является полиморфным резидентным вирусом с функцией IRC бэкдора.
После запуска производится запись в адресное пространство системного процесса lsass.exe и запускается удаленный поток.
Также вирус устанавливает ловушки в запущенных процессах на следующие функции:
NtCreateFile NtOpenFile NtCreateProcess NtCreateProcessExПосле чего инфицированный процесс ищет все файлы с расширением .exe и .scr за исключением тех, что начинаются c:
PSTO WC32 WCUN WINCи производит запись своего кода.
Вирус, обладая функциями IRC бэкдора, соединяется со следующим IRC сервером под ником из 8 случайных букв в канале virtu и ожидает команд злоумышленника:
irc***ief.plДля определения своего присутствия в системе вредонос создает уникальный идентификатор:
Vx_4Вирус имеет возможность загружать и запускать вредоносные программы, указанные злоумышленником, на компьютере пользователя.
Вирус изменяет следующее значение в реестре:
[HKCR\Software\ Microsoft\Windows\CurrentVersion\Explorer] "TargetHost" = "http://irc***ief.pl"В коде вирус содержится отрывок поэмы Ницше:
O noon of life! O time to celebrate! O summer garden! Relentlessly happy and expectant, standing: - Watching all day and night, for friends I wait: Where are you, friends? Come! It is time! It's late!
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить системный процесс lsass.exe.
- Удалить значение из реестра (как работать с реестром?):
[HKLM\Software\ Microsoft\Windows\CurrentVersion\Explorer] "TargetHost"="http://irc***ief.pl"
- Удалить оригинальные файл вируса.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
- при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
- вирус скопировал себя на съёмный носитель или заразил файлы на нем;
- пользователь отослал электронное письмо с зараженным вложением.
Virus.
- Backdoor.
Win32. Zhelatin. p («Лаборатория Касперского») - Virus:
W32/Virut. gen (McAfee) - W32/Vetor-A (Sophos)
- W32.
Virut. Gen. D-16 (ClamAV) - W32/Virutas.
gen (Panda) - W32/Virut.
AJ (FPROT) - Virus:
Win32/Virut. AG (MS(OneCare)) - Win32.
Virut. 5 (DrWeb) - Win32/Virut.
NAK virus (Nod32) - Win32.
Virtob. Gen. 9 (BitDef7) - Win32.
Virut. Gen (VirusBuster) - Win32:
Virut (AVAST) - Win32.
Virtob. 2 (Ikarus) - Win32/Virut (AVG)
- W32/Virut.
R (AVIRA) - W32.
Virut. R (NAV) - W32/Virut.
O (Norman) - Virus.
Win32. Virut. p [AVP] (FSecure) - PE_VIRUT.
GEN-2 (TrendMicro) - Virus.
Win32. Virut. b (v) (Sunbelt) - Win32.
Virut. Gen (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей