Virus.Win32. PayBack.1325

Полиморфный паразитический вирус, заражающий исполняемые файлы. Написан на ассемблере.

При активизации вирус производит запись своего тела в адресное пространство winlogon.exe и перехват вызовов API при создании и открытии файлов.

Заражению подлежат исполняемые файлы размером более 150 КБ (приложения, использующие GUI или Console).

В зависимости от структуры жертвы возможны следующие варианты заражения:

1. Если приложение имеет таблицу настроек (Fix Up's Table), размер которой превосходит 5172 байта, то запись полиморфного дешифратора и зашифрованного тела производится поверх таблицы, а имя секции, ее содержащей, заменяется случайным. Ссылка на наличие таблицы настроек удаляется из заголовка.

2. Если приложение не имеет таблицу настроек или ее размер не достаточно велик, полиморфный дешифратор и зашифрованное тело дописываются в конец последней секции.

Если приложение имеет таблицу отладочной информации (Debug Table), то ее начало переписывается коротким блоком инструкций перехода на дешифратор, и точка входа устанавливается на этот блок.

Если же таблицы нет, то блок инструкций записывается в конец секции кода. В случае, когда предполагаемое место для инструкций перехода на дешифратор занято, блок не записывается, а точка входа приложения устанавливается непосредственно на полиморфный дешифратор.

Процедура заражения содержит ошибки, которые в некоторых случаях приводят к неработоспособности файлов после инфицирования и невозможности их корректного лечения.

5 января каждого года вирус циклически перемещает окна программ, находящихся под курсором мыши вниз экрана до тех пор, пока они не выйдут за видимую область экрана, создавая эффект их падения.

Вирус содержит следующую строку:

Virus:'POLYMERASE-B'. Coded by Payback(Russia)