Virus.Win32.Fontra.b
Материал из Total Malware Info
Virus.Win32.Fontra.b Вирус, заражающий исполняемые файлы Windows. Имеет размер 11 763 байт. Тело вируса зашифровано функцией XOR с маской 0x31.
Деструктивная активность
Заражает файлы с расширением .exe, которые являются приложениями Windows (PE EXE-файлы). При заражении вирус добавляет в исполняемый файл две секции с именами "ups" и "psu", которые располагаются в конце исполняемого файла. Секція "ups" содержит зашифрованное тело вируса, в которое перенаправляется точка входа, при этом оригинальная точка входа в программу сохраняется в зашифрованном теле вируса. При запуске вирус регистрируется на сайте с адресом:
http://69.61.59.114
подключаясь к 22000 TCP порту. На этот адрес вирус отсылает статус-сообщения о прогрессе своей работы. Далее вирус сообщает на сайт следующую информацию:
- Версию установленной ОС;
- Установлены ли на компьютере следующие программы:
eMule Kazaa Shareaza eDonkey2000 Gnucleus Morpheus
Если такие программы установлены, вирус получает из реестра или файлов настроек этих программ и путь к папкам для принимаемых файлов. Отправляет эту информацию на сайт, после чего пытается заразить находящиеся в этих папках исполняемые файлы. Далее скачивает файл во временную папку, со следующего URL:
http://traf*****.biz/adv/173/win32.exe (7 755 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Tibs.ir)
и затем запускает его.
