Компьютерный вирус. Является РЕ ЕXE-файлом. Инфицирует EXE-файлы без повреждения их работоспособности с добавлением вредоносного тела.
Вирус имеет размер 36 КБ. Написан на языке C++.
Заражение
При запуске зараженного файла:
1. вирус создает скрытый файл с таким же именем, присваивая ему расширение RNT и сохраняет туда свое тело. Запускает созданный файл на выполнение (см. пункт 2). В случае неудачи (например, если файл не был создан) производится инсталляция вируса в систему и запуск его фоновой работы.
2. В ходе выполнения RNT-файла вирус лечит и запускает исходный зараженный файл, после его выполнения — вновь инфицирует. После этого производится инсталляция вируса в систему и запуск его фоновой работы.
Инсталляция
При выполнении тела вируса, он копирует себя в корневой каталог Windows с именем poserv.exe:
%WinDir%\poserv.exe
Для автоматического запуска при загрузке ОС, вирус определяет тип операционной системы. Если это Windows NT/2000/XP, то файл poserv.exe регистрируется как служба с именем «PO system service» и автоматическим запуском при каждой загрузке системы. Если тип операционной системы Windows 95/98, то файл poserv.exe регистрируется в ключе автозапуска системного реестра:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PO system service"="%WinDir%\poserv.exe"
Деструктивная активность
В ходе фоновой работы вирус следит за появлением окон, в заголовке которых содержатся следующие строки:
ftp mail password telnet
Если такие строки найдены, вирус сохраняет нажатия клавиш на клавиатуре и каждые 5 минут записывает их в следующий файл:
%WinDir%\logger.bin
Вирус пытается удалить службу с именем «BlackICE» и процессы, содержащие в именах следующие строки:
_avpm.exe aplica32.exe avconsol.exe avpm.exe blackice.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe firewall frw.exe iamapp.exe iamserv.exe ip_tools.exe jammer.exe kerio lockdown2000.exe navapw32.exe navw32.exe outpost.exe pcfwallicon.exe safeweb.exe sewf.exe tds2-98.exe vsecomr.exe vshwin32.exe vsmon.exe vsstat.exe webscanx.exe zonealarm.exe
Каждые 4 дня вирус отсылает электронное письмо своему «хозяину». В теле письма содержится следующая информация: имя компьютера, имя текущего пользователя, тип процессора, тип и версия ОС, установленный ServicePack и сохраненные нажатия клавиш из файла %WinDir%\logger.bin.
К письму прикрепляются данные из программы ICQ в том случае, если они присутствуют на компьютере. Это сжатые файлы с расширением dat из каталога %Program files%\ICQ\2002a или каталога, указанного в одном из следующих ключей системного реестра:
[HKEY_LOCAL_MACHINE\ SOFTWARE\Mirabilis\ICQ\DefaultPrefs] "2002a Database" "2001a Database" "2000b Database" "2000a Database"
Для определения времени последней отсылки письма используется ключ реестра:
[HKEY_CURRENT_USER\ SOFTWARE\Microsoft] "LS"
Максимальный размер отправляемого письма — 2,5 МБ.
Поиск и инфицирование файлов происходит на протяжении всего срока фоновой работы вируса. Вирус находит файлы с расширениями EXE и DOC. При этом EXE-файлы заражаются. При обнаружении DOC-файла в том же каталоге создаётся файл с тем же именем и расширением EXE, куда записывается тело вируса, изменённое так, что файлу соответствует значок такой же, как и у документов MS Word 2000. Если такой файл уже существовал, он не изменяется.
При поиске файлов просматриваются все диски компьютера, начиная с последнего доступного для записи (напр. Z:, Y:, X: :C:) до диска C: включительно. Для каждого диска просматривается дерево каталогов до 12 уровня и в каждом каталоге ищутся файлы с расширениями DOC и EXE, размером между 10 КБ и 2 МБ включительно.
Поиск очередного файла для инфицирования осуществляется примерно через каждые 0,666 секунды.
При инфицировании EXE-файла вирус записывает своё тело (вместе со всеми заголовками) в начало файла. При этом тело вируса изменяется так, что полученному файлу соответствует тот же значок, что и оригинальному.
Не заражаются файлы при выполнении одного из условий:
* файл расположен в корневом каталоге Windows («%WinDir%»);
* размер файла делится на 100 без остатка;
* файл расположен в корневом каталоге;
* длина имени файла (без пути и расширения) меньше 3-х символов;
* файл создан менее часа назад;
* флаги в заголовке *.exe файла указывают, что это *.dll или системный файл. (2 байта со смещением 12h от начала PE заголовка (без сигнатуры 'PE',0,0) имеют одно из значений 1000h или 2000h);
* файл уже заражён этим вирусом (определяется по наличию сигнатуры 'MZ' на смещении в 36КБ от начала файла).
Другие названия
Virus.Win32.Porex.b («Лаборатория Касперского») также известен как: Win32.Porex.b («Лаборатория Касперского»), W32/Porex.b (McAfee), W32.Porex (Symantec), Win32.HLLP.PissOff.36864 (Doctor Web), W32/Porex-B (Sophos), Win32/HLLP.Porex.B (RAV), PE_POREX.A (Trend Micro), W32/Porex.A (H+BEDV), Win32:Porex (ALWIL), Win32/Porex.B (Grisoft), Win32.HLLP.Porex.B (SOFTWIN), W32.Porex.B (ClamAV), W32/Porex.B (Panda), Win32/Porex.B (Eset)