Win32.Polipos

[Ŧ1LAN]

Название: Win32.Polipos
Распространение: пиринговые сети
Действие на систему:
Win32.Polipos представляет собой сложный полиморфный вирус.

Вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом основное зашифрованное тело вируса записывается в новой секции.

При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют следующие имена процессов:

• savedump
• dumprep
• dwwin
• drwtsn32
• drwatson
• kernel32.dll
• smss
• csrss
• spoolsv
• ctfmon
• temp

=> в памяти оказываются несколько копий вируса каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся обще доступными для участников этой сети.

Win32.Polipos перехватывает следующие API функции:

• ExitProcess
• CreateProcess
• CreateFileA
• LoadLibraryExA
• SearchPathA
• CreateProcessW
• CreateFileW
• LoadLibraryExW
• SearchPathW

При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, дистрибутивы и т.д.) вирус создает чистую копию во временном каталоге с именем ptf*.tmp, которую и запускает.

Вирус удаляет следующие файлы антивирусных программ:

• drwebase.vdb
• avg.avi
• vs.vsn
• anti-vir.dat
• avp.crc
• chklist.ms
• ivb.ntz
• ivp.ntz
• chklist.cps
• smartchk.ms
• smartchk.cps
• aguard.dat
• avgqt.dat
• lguard.vps

Win32.Polipos не заражает файлы, имена которых содержат следующие строки:

tb dbg f- nav pav mon rav nvc fpr dss ibm inoc scn pack vsaf vswp fsav adinf sqstart mc watch kasp nod setup temp norton mcafee anti tmp secure upx forti scan zone labs alarm symantec retina eeye virus firewall spider backdoor drweb viri debug panda shield kaspersky doctor trend micro sonique cillin barracuda sygate rescue pebundle ida spf assemble pklite aspack disasm gladiator ort expl process eliashim tds3 starforce safe'n'sec avx root burn aladdin esafe olly grisoft avg armor numega mirc softice norman neolite tiny ositis proxy webroot hack spy iss pkware blackice lavasoft aware pecompact clean hunter common kerio route trojan spyware heal alwil qualys tenable avast a2 etrust spy steganos security principal agnitum outpost avp personal softwin defender intermute guard inoculate sophos frisk alwil protect eset nod32 f-prot avwin ahead nero blindwrite clonecd elaborate slysoft hijack roxio imapi newtech infosystems adaptec swift sound copystar astonsoft gear software sateira dfrgntfs

Вирус содержит строку Win32.Polipos v1.2 by Joseph .