Win32.Porex
Szkodnik atakuje dwa typy plik贸w: wykonywalne pliki Win32 (PE EXE) oraz pliki posiadaj膮ce rozszerzenie .DOC. Kolejnym warunkiem jest rozmiar pliku - nie mo偶e on by膰 mniejszy od 10 KB oraz wi臋kszy od 21 MB.
Podczas infekowania zbioru PE EXE szkodnik zapisuje sw贸j kod w pocz膮tkowej cz臋艣ci pliku. Z kolei w przypadku infekowania pliku %nazwa pliku%.DOC wirus tworzy jego kopi臋 o nazwie %nazwa pliku%.EXE i zapisuje do niej sw贸j kod.
Po uruchomieniu szkodnik rejestruje si臋 jako us艂uga systemowa i w rezultacie nie jest widoczny na li艣cie aktywnych proces贸w.
Podczas instalacji robak kopiuje si臋 do folderu Windows z nazw膮 "poserv.exe" i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
PO system service = %WindowsDir%poserv.exe
Wirus wyposa偶ony jest w procedur臋, kt贸ra wysy艂a do jego tw贸rcy nast臋puj膮ce informacje o zainfekowanym komputerze:
- wersja systemu Windows,
- nazwa komputera,
- nazwa u偶ytkownika,
- typ procesora,
- informacje dotycz膮ce zainstalowanego klienta ICQ.
Robak podejmuje pr贸by zamykania proces贸w, kt贸rych nazwy zawieraj膮 nast臋puj膮ce teksty:
aplica32.exe zonealarm.exe _avpm.exe cfiadmin.exe vsmon.exe avpm.exe cfiaudit.exe vshwin32.exe tds2-98.exe cfinet32.exe vsecomr.exe ip_tools.exe cfinet.exe webscanx.exe sewf.exe iamserv.exe avconsol.exe outpost.exe iamapp.exe vsstat.exe blackice.exe pcfwallicon.exe navapw32.exe jammer.exe frw.exe navw32.exe kerio.* safeweb.exe lockdown2000.exe firewall.*