Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Virus.Win32.Virut.ce

Virus.Win32.Virut.ce

Время детектирования	29 окт 2009 18:07 MSK
Время выпуска обновления	24 май 2012 01:06 MSK
Описание опубликовано	29 окт 2009 18:07 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Файловый вирус, который заражает исполняемые файлы Windows. Является вредоносным кодом, который содержится в исполняемых файлах Windows PE-EXE. Размер тела вируса – около 17 КБ., вирус использует полиморфное шифрование, из-за чего размер тела варьируется.

Распространение

Вирус внедряет свой код в адресное пространство всех запущенных в системе процессов. Внедренный код перехватывает следующие системные функции в библиотеке ntdll.dll:

NtCreateFile
NtCreateProcess
NtCreateProcessEx
NtOpenFile
NtQueryInformationProcess

при помощи которых следит за открываемыми файлами и запускаемыми приложениями. При обнаружении запуска нового процесса или открытия исполняемого файла вирус производит его заражение. Заражаются файлы с расширениями .EXE и .SCR, которые являются приложениями Windows (PE-EXE). Вирус не заражает файлы, которые содержат в своем имени следующие строки : “WINC”, “WCUN”, “WC32”, “PSTO”. При заражении вирус расширяет последнюю PE-секцию заражемого файла и записывает туда свое полиморфное тело, после чего перенаправляет точку входа в программу на себя.

Деструктивная активность

Вирус добавляет исполняемый файл процесса, в котором работает в список доверенных приложений Windows Firewall.

Отключает функцию восстановления системных файлов.

Вирус пытается соединиться со следующими IRC серверами:

prox*****ircgalaxy.pl
irc*****ef.pl

если ему это удается, посылает серверу следующие команды:

NICK dewxxpyi
USER b
JOIN #.<rnd1>, где rnd1 – случайное число

После этого вирус переходит в режим приема команд от IRC сервера злоумышленников и выполняет их.

Вирус поддерживает следующие команды :

- !get - загрузка из интернет вредоносного кода и внедрение его в процессы на машине пользователя.

- !hosu - открытие указанных URL с компьютера пользователя.

Так же вирус сканирует жесткий диск компьютера в поисках файлов с расширениями

HTM
PHP
ASP

и если находит вставляет в них следующую строку:

Резюме

Trojan. Выполняет действия, характерные для вредоносных программ

Trojan. Изменяет системные настройки компьютера

Выполняет потенциально-опасные действия

Технические детали

Имеет размер 244483 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\DETER177\smss.exe
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\DETER177\svAh>st.exe
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\10HT\1EMSYS19.exe

Создает следующие файлы на зараженном компьютере:

Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\schmvi
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\sysrotdmo.sys

Вредоносная активность

С целью защиты от сетевых экранов и антивирусов ищет окна сообщений:

Класс: AVP.Product_Notification

и путем нажатия на соответствующие кнопки разрешает программе запрашиваемое действие

Изменяет (или удаляет) ключи системного реестра с целью ограничения функциональности ОС Windows:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer ] "NoFolderOptions" = "0x1"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ] "Hidden" = "0x0"

Описание:
Включает/выключает отображение скрытых и системных файлов

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ] "HideFileExt" = "0x1"

Описание:
Включает/выключает отображение расширений файлов в проводнике

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ] "ShowSuperHidden" = "0x0"

С целью обхода средств мониторинга и отладки ищет окна сообщений:

Класс: RegEdit_RegEdit

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

RasPbFile

Пытается найти файлы на компьютере пользователя по следующим маскам:

Прочие действия

Производит запуск следующих файлов (команд):

Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\DETER177\sv?h?st.exe
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\@sag>r18.sys

Ищет следующие окна:

Класс: #32770

Заголовок: NOD32 2.5 Control Center

Класс: #32770

Заголовок: ?????? NOD32 ?? ?????????? - [??????? ?????? ?????????? - ????????]

Класс: #32770

Заголовок: ?????? NOD32 ?? ?????????? - [??????? ???????????? ????]

Класс: #32770

Заголовок: NOD32 - ??????????????

Класс: #32770

Заголовок: ?pe???pe??e??e

Заголовок: ???????? ???????????? NOD32 - [Untitled]

Класс: #32770

Заголовок: ????????? ??????????? Personal

Класс: #32770

Заголовок: 0% - ??????????? ????????...

Класс: #32770

Заголовок: ????????

Класс: #32770

Заголовок: ????????? ??????????

Класс: #32770

Заголовок: ????????? ????????? ? ?????????? ?????????

Класс: #32770

Заголовок: ???????? ???? ??? ???????? ?? ????????????

Класс: AVP.MessageDialog

Класс: AVP.MainWindow

Класс: AVP.SettingsWindow

Класс: AVP.ReportWindow

Заголовок: Agnitum Outpost Firewall - configuration.cfg

Заголовок: ????????? ???????

Заголовок: ???????? ???????

Заголовок: ??????????? ?????? : ??????????

Заголовок: ??????????? ?????? : ???????

и другие...

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ] "Shell" = "Explorer.exe Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\?HT?MSYS19.exe"

Описание:
Определяет программу, которая будет использоваться в качестве пользовательского интерфейса к ОС Windows. Может использоваться вредоносными программами для обеспечения своего автозапуска при загрузке ОС Windows

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "lsass" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\DETER177\lsass.exe"

Описание:
Используется для автозапуска файлов при загрузке ОС Windows

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Classes\scrfile ] "(default)" = "????? ? ???????"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "?tfm?n.exe" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\?tfmon.exe"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "?tfm?n.exe" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\?tfmon.exe"

Печать

Закладки

Вредоносные программы

Вирусы и черви

Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
вирус скопировал себя на съёмный носитель или заразил файлы на нем;
пользователь отослал электронное письмо с зараженным вложением.

Другие модификации

Virus.Win32.Virut.a

Virus.Win32.Virut.p

Другие названия

Virus.Win32.Virut.ce («Лаборатория Касперского») также известен как:

Trojan.Win32.Genome.aeywa («Лаборатория Касперского»)
Trojan.Win32.Vilsel.bevv («Лаборатория Касперского»)
Email-Worm.Win32.Brontok.se («Лаборатория Касперского»)
Email-Worm.Win32.Brontok.sd («Лаборатория Касперского»)
Trojan.Win32.Genome.sdlo («Лаборатория Касперского»)
Worm.Win32.AutoRun.bzax («Лаборатория Касперского»)
Worm.Win32.AutoRun.byqn («Лаборатория Касперского»)
Trojan.Win32.Autoit.aji («Лаборатория Касперского»)
IM-Worm.Win32.VB.akl («Лаборатория Касперского»)
Worm.Win32.Zombaque.l («Лаборатория Касперского»)
Worm.Win32.AutoRun.hmn («Лаборатория Касперского»)
Trojan.Win32.Refroso.cbmr («Лаборатория Касперского»)
Trojan-PSW.Win32.QQPass.xqo («Лаборатория Касперского»)
Worm.Win32.VB.bbo («Лаборатория Касперского»)
Trojan.Win32.Vilsel.cfb («Лаборатория Касперского»)
Hoax.Win32.Sality.ae («Лаборатория Касперского»)
P2P-Worm.Win32.Sality.ae («Лаборатория Касперского»)
Trojan-Downloader.Win32.Virut.ce («Лаборатория Касперского»)
Trojan-SMS.Win32.Virut.ce («Лаборатория Касперского»)
Trojan.Win32.Virut.ce («Лаборатория Касперского»)
Hoax.Win32.Virut.ce («Лаборатория Касперского»)
Backdoor.Win32.Virut.ce («Лаборатория Касперского»)
Worm.Win32.AutoRun.fya («Лаборатория Касперского»)
Virus.Win32.Sality.ae («Лаборатория Касперского»)
Virus.Win32.Sality.ae («Лаборатория Касперского»)
Virus.Win32.Sality.ae («Лаборатория Касперского»)
Backdoor.Win32.IRCBot.ihd («Лаборатория Касперского»)
Virus: W32/Virut.n.gen (McAfee)
W32.Changeup.8657 (Symantec)
W32.Virut.CF.37843 (Symantec)
W32/Scribble-B (Sophos)
W32/Sality.AO (Panda)
Virus:Win32/Virut.BN (MS(OneCare))
Win32.Virut.56 (DrWeb)
Win32.Virtob.Gen.12 (BitDef7)
Win32.Virut.AB.Gen (VirusBuster)
Win32:VB-YDQ [Trj] (AVAST)
File was not downloaded for scan (AVAST)
Gen.Trojan.Heur (Ikarus)
Trojan.Win32.Spy (Ikarus)
Win32/DH.FF81010B{40580000-00001000-00000000-00000000} (AVG)
Win32/Virut (AVG)
W32/Virut.gen (AVIRA)
W32/Virut.HL (Norman)
W32/Virut.EH (Norman)
Win32.Virut.dy (Rising)
Win32.Virtob.Gen.12 [Aquarius] (FSecure)
PE_VIRUX.R (TrendMicro)
Virus.Win32.Virut.ce (v) (Sunbelt)
Virus.Win32.Virut.ce.5 (v) (Sunbelt)
Win32.Virut.AB.Gen (VirusBusterBeta)
W32/Virut.CE (Fortinet)
Win32.Virtob.Gen.12 (GData)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com

Класс:	#32770
Заголовок:	NOD32 2.5 Control Center
Класс:	#32770
Заголовок:	?????? NOD32 ?? ?????????? - [??????? ?????? ?????????? - ????????]
Класс:	#32770
Заголовок:	?????? NOD32 ?? ?????????? - [??????? ???????????? ????]
Класс:	#32770
Заголовок:	NOD32 - ??????????????
Класс:	#32770
Заголовок:	?pe???pe??e??e
Заголовок:	???????? ???????????? NOD32 - [Untitled]
Класс:	#32770
Заголовок:	????????? ??????????? Personal
Класс:	#32770
Заголовок:	0% - ??????????? ????????...
Класс:	#32770
Заголовок:	????????
Класс:	#32770
Заголовок:	????????? ??????????
Класс:	#32770
Заголовок:	????????? ????????? ? ?????????? ?????????
Класс:	#32770
Заголовок:	???????? ???? ??? ???????? ?? ????????????
Класс:	AVP.MessageDialog
Класс:	AVP.MainWindow
Класс:	AVP.SettingsWindow
Класс:	AVP.ReportWindow
Заголовок:	Agnitum Outpost Firewall - configuration.cfg
Заголовок:	????????? ???????
Заголовок:	???????? ???????
Заголовок:	??????????? ?????? : ??????????
Заголовок:	??????????? ?????? : ???????