Win32.Driller

Jest to rezydentny, paso偶ytniczy wirus Win32. Infekuje pliki PE EXE o rozszerzeniach EXE, SCR oraz CPL, znajduj膮ce si臋 w katalogach: bie偶膮cym, Windows oraz systemowym Windows. Szkodnik zmienia startow膮 stron臋 programu Internet Explorer.

Bakcyl pozostaje w pami臋ci systemowej jako komponent zainfekowanego programu, uzyskuje dost臋p do funkcji j膮dra i przejmuje 15 z nich: wyszukiwanie pliku, otwieranie pliku, kopiowanie, przenoszenie, itd. Gdy nast臋puje wywo艂anie pliku PE EXE przez jedn膮 z tych funkcji, wirus infekuje ten plik. W rezultacie, szkodnik zara偶a wszystkie pliki PE EXE, wywo艂ywane przez zainfekowanego hosta.

Podczas infekowania pliku, wirus szyfruje sw贸j kod (8 kilobajt贸w) i zapisuje go w ko艅cowej cz臋艣ci atakowanego proramu. Nast臋pnie, bakcyl odczytuje 8 KB kodu ofiary, szyfruje go i r贸wnie偶 zapisuje na ko艅cu pliku. Powsta艂e w ten spos贸b miejsce wype艂niane jest procedur膮 polimorficzn膮, kt贸ra deszyfruje g艂贸wny kod wirusa i przekazuje mu kontrol臋.

Wykorzystywana przez wirusa procedura polimorficzna posiada b艂臋dy, kt贸re mog膮 wywo艂ywa膰 standardowy komunikat systemu Windows, informuj膮cy o wyst膮pieniu b艂臋du podczas pracy aplikacji.

W pi膮tki zale偶nie od systemowej daty, wirus ustawia startow膮 stron臋 programu MS Internet Explorer na:

http://www.thehungersite.com

Ponadto bakcyl posiada w swoim kodzie sygnatur臋 autora:

[Virus TUAREG by The Mental Driller|29A]
- This virus has been designed for carrying the TUAREG engine -