Win32.Porex

Jest to rezydentny wirus towarzysz膮cy dzia艂aj膮cy w systemach Win32. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 37 KB i powsta艂 przy u偶yciu 艣rodowiska programistycznego Microsoft Visual C++.

Szkodnik atakuje dwa typy plik贸w: wykonywalne pliki Win32 (PE EXE) oraz pliki posiadaj膮ce rozszerzenie .DOC. Kolejnym warunkiem jest rozmiar pliku - nie mo偶e on by膰 mniejszy od 10 KB oraz wi臋kszy od 21 MB.

Podczas infekowania zbioru PE EXE szkodnik zapisuje sw贸j kod w pocz膮tkowej cz臋艣ci pliku. Z kolei w przypadku infekowania pliku %nazwa pliku%.DOC wirus tworzy jego kopi臋 o nazwie %nazwa pliku%.EXE i zapisuje do niej sw贸j kod.

Po uruchomieniu szkodnik rejestruje si臋 jako us艂uga systemowa i w rezultacie nie jest widoczny na li艣cie aktywnych proces贸w.

Podczas instalacji robak kopiuje si臋 do folderu Windows z nazw膮 "poserv.exe" i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
PO system service = %WindowsDir%poserv.exe

Wirus wyposa偶ony jest w procedur臋, kt贸ra wysy艂a do jego tw贸rcy nast臋puj膮ce informacje o zainfekowanym komputerze:

  • wersja systemu Windows,
  • nazwa komputera,
  • nazwa u偶ytkownika,
  • typ procesora,
  • informacje dotycz膮ce zainstalowanego klienta ICQ.

Robak podejmuje pr贸by zamykania proces贸w, kt贸rych nazwy zawieraj膮 nast臋puj膮ce teksty:

aplica32.exe     zonealarm.exe     _avpm.exe
cfiadmin.exe     vsmon.exe         avpm.exe
cfiaudit.exe     vshwin32.exe      tds2-98.exe
cfinet32.exe     vsecomr.exe       ip_tools.exe
cfinet.exe       webscanx.exe      sewf.exe
iamserv.exe      avconsol.exe      outpost.exe
iamapp.exe       vsstat.exe        blackice.exe
pcfwallicon.exe  navapw32.exe      jammer.exe
frw.exe          navw32.exe        kerio.*
safeweb.exe      lockdown2000.exe  firewall.*