Virus.Win32.Ghost.1667

Нерезидентный, файловый вирус. Представляет собой Windows PE EXE-файл. Не содержит в себе деструктивных функций. Написан на языке Assembler.

Деструктивная активность

После запуска вирус определяет следующие директории:

1. корневой каталог Windows;

2. системный каталог Windows;

3. текущий каталог.

После чего в каждом из этих каталогов происходит не рекурсивный поиск файлов с расширениями exe и scr.

Далее вирус увеличивает размер последней секции найденного файла на 1667 байт, записывает себя в эту область, изменяет на себя значение точки входа (EP), получая при этом управление при каждом последующем запуске файла.

Во избежание повторного заражения одно из полей PE заголовка файла сравнивается с последовательностью байт 45 47 41 52h.

Данный вирус содержит строку:

  
  32.Ghost (c) 2000 Billy Belcebu/iKX

Другие названия

Virus.Win32.Ghost.1667 («Лаборатория Касперского») также известен как: Win32.Ghost.1667 («Лаборатория Касперского»), W32/Ghost (McAfee), W32.Ghost.1667 (Symantec), Win32.Ghost.1667 (Doctor Web), W32/Ghost-1667 (Sophos), Win32/Ghost.1634 (RAV), PE_GHOST.1667 (Trend Micro), W32/Ghost-1667 (H+BEDV), W32/Ghost.1667 (FRISK), Win32:Ghost (ALWIL), Win32/GhostDog.1667 (Grisoft), Win32.Ghost.1667 (SOFTWIN), W32/Ghost.1667 (Panda), WIN32 (Eset)