RSS-каналы
Уровень опасности: 1
Virus.Win32.Virut.ce
| Время детектирования | 04 апр 2009 19:17 MSK |
| Время выпуска обновления | 04 апр 2009 23:26 MSK |
| Описание опубликовано | 29 окт 2009 18:07 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Файловый вирус, который заражает исполняемые файлы Windows. Является вредоносным кодом, который содержится в исполняемых файлах Windows PE-EXE. Размер тела вируса – около 17 КБ., вирус использует полиморфное шифрование, из-за чего размер тела варьируется.
Распространение
Вирус внедряет свой код в адресное пространство всех запущенных в системе процессов. Внедренный код перехватывает следующие системные функции в библиотеке ntdll.dll:NtCreateFile NtCreateProcess NtCreateProcessEx NtOpenFile NtQueryInformationProcessпри помощи которых следит за открываемыми файлами и запускаемыми приложениями. При обнаружении запуска нового процесса или открытия исполняемого файла вирус производит его заражение. Заражаются файлы с расширениями .EXE и .SCR, которые являются приложениями Windows (PE-EXE). Вирус не заражает файлы, которые содержат в своем имени следующие строки : “WINC”, “WCUN”, “WC32”, “PSTO”. При заражении вирус расширяет последнюю PE-секцию заражемого файла и записывает туда свое полиморфное тело, после чего перенаправляет точку входа в программу на себя.
Деструктивная активность
Вирус добавляет исполняемый файл процесса, в котором работает в список доверенных приложений Windows Firewall.
Отключает функцию восстановления системных файлов.
Вирус пытается соединиться со следующими IRC серверами:
prox*****ircgalaxy.pl irc*****ef.plесли ему это удается, посылает серверу следующие команды:
NICK dewxxpyi USER b JOIN #.<rnd1>, где rnd1 – случайное числоПосле этого вирус переходит в режим приема команд от IRC сервера злоумышленников и выполняет их.
Вирус поддерживает следующие команды :
- !get - загрузка из интернет вредоносного кода и внедрение его в процессы на машине пользователя.
- !hosu - открытие указанных URL с компьютера пользователя.
Так же вирус сканирует жесткий диск компьютера в поисках файлов с расширениями
HTM PHP ASPи если находит вставляет в них следующую строку:
style="border:0"></iframe>
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
- при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
- вирус скопировал себя на съёмный носитель или заразил файлы на нем;
- пользователь отослал электронное письмо с зараженным вложением.
Virus.
- Trojan-Downloader.
Win32. Virut. ce («Лаборатория Касперского») - Trojan-SMS.
Win32. Virut. ce («Лаборатория Касперского») - Trojan.
Win32. Virut. ce («Лаборатория Касперского») - Hoax.
Win32. Virut. ce («Лаборатория Касперского») - Backdoor.
Win32. Virut. ce («Лаборатория Касперского») - Worm.
Win32. AutoRun. fya («Лаборатория Касперского») - Backdoor.
Win32. IRCBot. ihd («Лаборатория Касперского») - Trojan:
BackDoor-EEC. gen (McAfee) - Virus:
W32/Expiro. c (McAfee) - Virus:
W32/Virut. n. gen (McAfee) - W32/Scribble-B (Sophos)
- Trojan.
Fakefolder (ClamAV) - Worm.
Autorun-1980 (ClamAV) - W32.
Alman-4 (ClamAV) - W32.
Virut-48 (ClamAV) - W32.
Sality-27 (ClamAV) - Trojan.
Autoit-14 (ClamAV) - W32.
Sality-65 (ClamAV) - Bck/Bifrost.
gen (Panda) - W32/Sality.
AO (Panda) - W32/Patched.
E. gen!Eldorado (FPROT) - W32/Worm.
APJW (FPROT) - W32/Backdoor.
BVDW (FPROT) - W32/Virut.
AI (FPROT) - W32/Virut.
AI!Generic (FPROT) - W32/Virut.
AK!Generic (FPROT) - Virus:
Win32/Sality. AM (MS(OneCare)) - Worm:
Win32/Brontok. FFV (MS(OneCare)) - Virus:
Win32/Virut. BM (MS(OneCare)) - Virus:
Win32/Virut. gen!O (MS(OneCare)) - Win32.
Virut. 56 (DrWeb) - Win32/Virut.
NBU virus (Nod32) - Win32/Virut.
NBP virus (Nod32) - Trojan.
FakeFolder. A (BitDef7) - Win32.
Worm. Autoit. P (BitDef7) - Win32.
Virtob. Gen. 12 (BitDef7) - Worm.
AutoIT. V (VirusBuster) - Worm.
VB. FMU (VirusBuster) - Win32.
Virut. Y. Gen (VirusBuster) - Win32.
Virut. AB. Gen (VirusBuster) - Win32:
AutoRun-BCE [Wrm] (AVAST) - Win32:
AutoIt-U [Trj] (AVAST) - Win32:
Virut-MO (AVAST) - Win32:
Pakes-BGU [Trj] (AVAST) - Win32:
Virut-WM (AVAST) - Win32:
Sality (AVAST) - Win32:
Virut-AAB (AVAST) - Win32:
Virut-VZ (AVAST) - Win32:
Virut-MP (AVAST) - Win32:
Virut-WI (AVAST) - Win32:
Refroso-V [Trj] (AVAST) - Win32:
Genome-GR [Trj] (AVAST) - Win32:
JunkPoly [Cryp] (AVAST) - Win32:
Vitro (AVAST) - Win32.
SuspectService (Ikarus) - Virus.
Win32. RainSong (Ikarus) - Trojan.
Win32. Autoit (Ikarus) - Email-Worm.
Win32. Brontok (Ikarus) - Win32.
Cadoiac. A (Ikarus) - Virus.
Win32. Virut. q (Ikarus) - Virus.
Win32. Virut. ai (Ikarus) - Virus.
Win32. VB. bg (Ikarus) - Trojan-Spy.
Win32. Banbra (Ikarus) - Trojan-Downloader.
Win32. Uloadis (Ikarus) - Trojan.
Win32. Koblu (Ikarus) - Trojan-Clicker.
Win32. Delf (Ikarus) - Virus.
Win32. Sality (Ikarus) - IM-Worm.
Win32. Sohanad (Ikarus) - Trojan.
Win32. Vhorse (Ikarus) - Virus.
Win32. CeeInject (Ikarus) - Trojan.
Agent2 (Ikarus) - Backdoor.
Win32. Donbot (Ikarus) - Trojan.
Crypt (Ikarus) - not-a-virus:
PSWTool. Win32. Messen. 110 (Ikarus) - Backdoor.
Win32. Wootbot (Ikarus) - Worm.
Win32. VB (Ikarus) - Virus.
Win32. Virut. n (Ikarus) - Virus.
Win32. Alman (Ikarus) - Backdoor.
Win32. Refpron (Ikarus) - Trojan-Downloader.
Win32. AutoIt. fs (Ikarus) - Win32.
Virtob (Ikarus) - Virus.
Win32. Virut (Ikarus) - W32.
Virut (Ikarus) - Dropper.
Generic. AOYB (AVG) - Win32/Alman (AVG)
- Win32/Tanatos.
H (AVG) - Win32/Virut.
AE (AVG) - Win32/Heur (AVG)
- Win32/Virut (AVG)
- W32/Sality.
Y (AVIRA) - W32/Sality.
l (AVIRA) - load.
exe <<< W32/Virut. Gen (AVIRA) - TR/VB.
BG (AVIRA) - <<< W32/Virut.
Gen (AVIRA) - W32/Sality (AVIRA)
- W32/Virut.
gen (AVIRA) - W32.
SillyDC (NAV) - W32.
SillyFDC (NAV) - W32.
Virut. CF (NAV) - W32/Virut.
FQ (Norman) - W32/Virut.
CF (Norman) - W32/Virut.
BZ (Norman) - W32/Virut.
DB (Norman) - W32/Virut.
FP (Norman) - W32/Obfuscated.
H!genr (Norman) - W32/Virut.
FV (Norman) - W32/Virut.
BS (Norman) - W32/Virut.
CS (Norman) - W32/Virut.
CG (Norman) - Suspicious_Gen.
NBF (Norman) - W32/Virut.
FN (Norman) - W32/Virut.
CE (Norman) - W32/Virut.
CC (Norman) - W32/Virut.
BV (Norman) - W32/Virut.
gen3 (Norman) - W32/Virut.
CP (Norman) - Trojan.
DL. Win32. Nodef. alv (Rising) - Trojan.
Win32. Autoit. av (Rising) - Worm.
Win32. Autorun. fap (Rising) - Win32.
Kuku. a (Rising) - Trojan.
Win32. QHost. atg (Rising) - Packer.
Win32. Agent. bk [Suspicious] (Rising) - Win32.
Virut. bm (Rising) - Win32.
Virut. cl (Rising) - Trojan-Dropper:
W32/Agent. KLG [FSE] (FSecure) - Virus.
Win32. Virut. ce [AVP] (FSecure) - PE_VIRUX.
F-2 (TrendMicro) - PE_VIRUX.
Q (TrendMicro) - PE_VIRUX.
J-1 (TrendMicro) - PE_VIRUX.
F (TrendMicro) - PE_VIRUX.
P (TrendMicro) - PE_VIRUX.
A (TrendMicro) - PE_VIRUX.
A-1 (TrendMicro) - PE_VIRUX.
E (TrendMicro) - PE_VIRUX.
D (TrendMicro) - PE_VIRUX.
I (TrendMicro) - PE_VIRUX.
J (TrendMicro) - PE_VIRUX.
E-1 (TrendMicro) - Trojan.
Win32. Generic. pak!cobra (Sunbelt) - Virus.
Win32. Virut. ce (v) (Sunbelt) - Worm.
VB. FMU (VirusBusterBeta) - Worm.
AutoIT. V (VirusBusterBeta) - Win32.
Virut. Y. Gen (VirusBusterBeta) - Win32.
Virut. AB. Gen (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей