Virus.Win32.Porex.b

Компьютерный вирус. Является РЕ ЕXE-файлом. Инфицирует EXE-файлы без повреждения их работоспособности с добавлением вредоносного тела. Создает и маскирует выполнимые тела вирусов под существующие на локальной машине DOC-файлы. Сохраняет введенные пользователем строки в окнах, содержащих слова: «password», «mail», «ftp», «telnet» и периодически отправляет их по email автору вируса.

Вирус имеет размер 36 КБ. Написан на языке C++.

Заражение

При запуске зараженного файла:

1. вирус создает скрытый файл с таким же именем, присваивая ему расширение RNT и сохраняет туда свое тело. Запускает созданный файл на выполнение (см. пункт 2). В случае неудачи (например, если файл не был создан) производится инсталляция вируса в систему и запуск его фоновой работы.

2. В ходе выполнения RNT-файла вирус лечит и запускает исходный зараженный файл, после его выполнения — вновь инфицирует. После этого производится инсталляция вируса в систему и запуск его фоновой работы.

Инсталляция

При выполнении тела вируса, он копирует себя в корневой каталог Windows с именем poserv.exe:

  %WinDir%\poserv.exe
  

Для автоматического запуска при загрузке ОС, вирус определяет тип операционной системы. Если это Windows NT/2000/XP, то файл poserv.exe регистрируется как служба с именем «PO system service» и автоматическим запуском при каждой загрузке системы. Если тип операционной системы Windows 95/98, то файл poserv.exe регистрируется в ключе автозапуска системного реестра:

  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "PO system service"="%WinDir%\poserv.exe"
  

Деструктивная активность

В ходе фоновой работы вирус следит за появлением окон, в заголовке которых содержатся следующие строки:

  
  ftp
  mail
  password
  telnet
  

Если такие строки найдены, вирус сохраняет нажатия клавиш на клавиатуре и каждые 5 минут записывает их в следующий файл:

  %WinDir%\logger.bin
  

Вирус пытается удалить службу с именем «BlackICE» и процессы, содержащие в именах следующие строки:

  
  _avpm.exe
  aplica32.exe
  avconsol.exe
  avpm.exe
  blackice.exe
  cfiadmin.exe
  cfiaudit.exe
  cfinet.exe
  cfinet32.exe
  firewall
  frw.exe
  iamapp.exe
  iamserv.exe
  ip_tools.exe
  jammer.exe
  kerio
  lockdown2000.exe
  navapw32.exe
  navw32.exe
  outpost.exe
  pcfwallicon.exe
  safeweb.exe
  sewf.exe
  tds2-98.exe
  vsecomr.exe
  vshwin32.exe
  vsmon.exe
  vsstat.exe
  webscanx.exe
  zonealarm.exe
  

Каждые 4 дня вирус отсылает электронное письмо своему «хозяину». В теле письма содержится следующая информация: имя компьютера, имя текущего пользователя, тип процессора, тип и версия ОС, установленный ServicePack и сохраненные нажатия клавиш из файла %WinDir%\logger.bin.

К письму прикрепляются данные из программы ICQ в том случае, если они присутствуют на компьютере. Это сжатые файлы с расширением dat из каталога %Program files%\ICQ\2002a или каталога, указанного в одном из следующих ключей системного реестра:

  [HKEY_LOCAL_MACHINE\ SOFTWARE\Mirabilis\ICQ\DefaultPrefs]
   "2002a Database"
   "2001a Database"
   "2000b Database"
   "2000a Database"
  

Для определения времени последней отсылки письма используется ключ реестра:

  [HKEY_CURRENT_USER\ SOFTWARE\Microsoft]
   "LS"

Максимальный размер отправляемого письма — 2,5 МБ.

Поиск и инфицирование файлов происходит на протяжении всего срока фоновой работы вируса. Вирус находит файлы с расширениями EXE и DOC. При этом EXE-файлы заражаются. При обнаружении DOC-файла в том же каталоге создаётся файл с тем же именем и расширением EXE, куда записывается тело вируса, изменённое так, что файлу соответствует значок такой же, как и у документов MS Word 2000. Если такой файл уже существовал, он не изменяется.

При поиске файлов просматриваются все диски компьютера, начиная с последнего доступного для записи (напр. Z:, Y:, X: :C:) до диска C: включительно. Для каждого диска просматривается дерево каталогов до 12 уровня и в каждом каталоге ищутся файлы с расширениями DOC и EXE, размером между 10 КБ и 2 МБ включительно.

Поиск очередного файла для инфицирования осуществляется примерно через каждые 0,666 секунды.

При инфицировании EXE-файла вирус записывает своё тело (вместе со всеми заголовками) в начало файла. При этом тело вируса изменяется так, что полученному файлу соответствует тот же значок, что и оригинальному.

Не заражаются файлы при выполнении одного из условий:

* файл расположен в корневом каталоге Windows («%WinDir%»);

* размер файла делится на 100 без остатка;

* файл расположен в корневом каталоге;

* длина имени файла (без пути и расширения) меньше 3-х символов;

* файл создан менее часа назад;

* флаги в заголовке *.exe файла указывают, что это *.dll или системный файл. (2 байта со смещением 12h от начала PE заголовка (без сигнатуры 'PE',0,0) имеют одно из значений 1000h или 2000h);

* файл уже заражён этим вирусом (определяется по наличию сигнатуры 'MZ' на смещении в 36КБ от начала файла).

Другие названия

Virus.Win32.Porex.b («Лаборатория Касперского») также известен как: Win32.Porex.b («Лаборатория Касперского»), W32/Porex.b (McAfee), W32.Porex (Symantec), Win32.HLLP.PissOff.36864 (Doctor Web), W32/Porex-B (Sophos), Win32/HLLP.Porex.B (RAV), PE_POREX.A (Trend Micro), W32/Porex.A (H+BEDV), Win32:Porex (ALWIL), Win32/Porex.B (Grisoft), Win32.HLLP.Porex.B (SOFTWIN), W32.Porex.B (ClamAV), W32/Porex.B (Panda), Win32/Porex.B (Eset)