Недавно столкнулся с вирусом делаю на него не большой обзор.
Название:Virus.Win32.Porex.b
семейство:Porex
рамер файла:36 КБ
инсталяция:вирус создает скрытый файл с таким же именем, присваивая ему расширение RNT и сохраняет туда свое тело. В ходе выполнения RNT-файла вирус лечит и запускает исходный зараженный файл, после его выполнения — вновь инфицирует. После этого производится инсталляция вируса в систему и запуск его фоновой работы.
При выполнении тела вируса, он копирует себя в корневой каталог Windows с именем poserv.exe:
%WinDir%\poserv.exe
файл poserv.exe регистрируется как служба с именем «PO system service» и автоматическим запуском при каждой загрузке системы.
действие на систему:В ходе фоновой работы вирус следит за появлением окон, в заголовке которых содержатся следующие строки:
ftp
mail
password
telnet
Если такие строки найдены, вирус сохраняет нажатия клавиш на клавиатуре и каждые 5 минут записывает их в следующий файл:
%WinDir%\logger.bin
Вирус пытается удалить службу с именем «BlackICE» и процессы, содержащие в именах следующие строки:
_avpm.exe
aplica32.exe
avconsol.exe
avpm.exe
blackice.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
firewall
frw.exe
iamapp.exe
iamserv.exe
ip_tools.exe
jammer.exe
kerio
lockdown2000.exe
navapw32.exe
navw32.exe
outpost.exe
pcfwallicon.exe
safeweb.exe
sewf.exe
tds2-98.exe
vsecomr.exe
vshwin32.exe
vsmon.exe
vsstat.exe
webscanx.exe
zonealarm.exe
Каждые 4 дня вирус отсылает электронное письмо своему «хозяину». В теле письма содержится следующая информация: имя компьютера, имя текущего пользователя, тип процессора, тип и версия ОС, установленный ServicePack и сохраненные нажатия клавиш из файла %WinDir%\logger.bin.
К письму прикрепляются данные из программы ICQ в том случае, если они присутствуют на компьютере. Это сжатые файлы с расширением dat из каталога %Program files%\ICQ\2002a или каталога, указанного в одном из следующих ключей системного реестра:
[HKEY_LOCAL_MACHINE\ SOFTWARE\Mirabilis\ICQ\DefaultPrefs]
"2002a Database"
"2001a Database"
"2000b Database"
"2000a Database"
Для определения времени последней отсылки письма используется ключ реестра:
[HKEY_CURRENT_USER\ SOFTWARE\Microsoft]
"LS"
Максимальный размер отправляемого письма — 2,5 МБ.
Не заражаются файлы при выполнении одного из условий:
1)Остановить службу с именем «PO system service» или завершить процесс с именем poserv.exe.
2)Удалить следующий ключ системного реестра:
3)Удалить файл poserv.exe из корневого каталога Windows (%WinDir%).
4)Удалить EXE-файлы (вирус), при наличии одноименных файлов с расширением DOC (оригинал). При этом исключая EXE-файлы, созданные самим пользователем.
5)Удалить RNT-файлы (вирус), при наличии одноименных файлов с расширением EXE (инфицированный оригинал). При этом исключая RNT-файлы, созданные самим пользователем.
Название:Virus.Win32.Porex.b
семейство:Porex
рамер файла:36 КБ
инсталяция:вирус создает скрытый файл с таким же именем, присваивая ему расширение RNT и сохраняет туда свое тело. В ходе выполнения RNT-файла вирус лечит и запускает исходный зараженный файл, после его выполнения — вновь инфицирует. После этого производится инсталляция вируса в систему и запуск его фоновой работы.
При выполнении тела вируса, он копирует себя в корневой каталог Windows с именем poserv.exe:
%WinDir%\poserv.exe
файл poserv.exe регистрируется как служба с именем «PO system service» и автоматическим запуском при каждой загрузке системы.
действие на систему:В ходе фоновой работы вирус следит за появлением окон, в заголовке которых содержатся следующие строки:
ftp
password
telnet
Если такие строки найдены, вирус сохраняет нажатия клавиш на клавиатуре и каждые 5 минут записывает их в следующий файл:
%WinDir%\logger.bin
Вирус пытается удалить службу с именем «BlackICE» и процессы, содержащие в именах следующие строки:
_avpm.exe
aplica32.exe
avconsol.exe
avpm.exe
blackice.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
firewall
frw.exe
iamapp.exe
iamserv.exe
ip_tools.exe
jammer.exe
kerio
lockdown2000.exe
navapw32.exe
navw32.exe
outpost.exe
pcfwallicon.exe
safeweb.exe
sewf.exe
tds2-98.exe
vsecomr.exe
vshwin32.exe
vsmon.exe
vsstat.exe
webscanx.exe
zonealarm.exe
Каждые 4 дня вирус отсылает электронное письмо своему «хозяину». В теле письма содержится следующая информация: имя компьютера, имя текущего пользователя, тип процессора, тип и версия ОС, установленный ServicePack и сохраненные нажатия клавиш из файла %WinDir%\logger.bin.
К письму прикрепляются данные из программы ICQ в том случае, если они присутствуют на компьютере. Это сжатые файлы с расширением dat из каталога %Program files%\ICQ\2002a или каталога, указанного в одном из следующих ключей системного реестра:
[HKEY_LOCAL_MACHINE\ SOFTWARE\Mirabilis\ICQ\DefaultPrefs]
"2002a Database"
"2001a Database"
"2000b Database"
"2000a Database"
Для определения времени последней отсылки письма используется ключ реестра:
[HKEY_CURRENT_USER\ SOFTWARE\Microsoft]
"LS"
Максимальный размер отправляемого письма — 2,5 МБ.
Не заражаются файлы при выполнении одного из условий:
- файл расположен в корневом каталоге Windows («%WinDir%»);
- размер файла делится на 100 без остатка;
- файл расположен в корневом каталоге;
- длина имени файла (без пути и расширения) меньше 3-х символов;
- файл создан менее часа назад;
- флаги в заголовке *.exe файла указывают, что это *.dll или системный файл. (2 байта со смещением 12h от начала PE заголовка (без сигнатуры 'PE',0,0) имеют одно из значений 1000h или 2000h);
- файл уже заражён этим вирусом (определяется по наличию сигнатуры 'MZ' на смещении в 36КБ от начала файла).
1)Остановить службу с именем «PO system service» или завершить процесс с именем poserv.exe.
2)Удалить следующий ключ системного реестра:
Код:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PO system service"="%WinDir%\poserv.exe"4)Удалить EXE-файлы (вирус), при наличии одноименных файлов с расширением DOC (оригинал). При этом исключая EXE-файлы, созданные самим пользователем.
5)Удалить RNT-файлы (вирус), при наличии одноименных файлов с расширением EXE (инфицированный оригинал). При этом исключая RNT-файлы, созданные самим пользователем.