Virus.Win32. Glyn

Файловый вирус. Представляет собой Windows PE EXE-файл. Имеет размер 8192 байта.

При запуске вирус заражает все EXE-файлы в текущем каталоге и во всех родительских каталогах вплоть до корневого.

Процедура заражения

После запуска вирус ищет файлы с расширением .exe в текущем и во всех родительских каталогах. При заражении использует следующую технику:

1. создаёт свою копию в текущем каталоге с именем GLYVEN.$$$;

2. записывает по смещению 0x2000 байт в GLYVEN.$$$ заражаемый EXE-файл и при этом шифрует его;

3. удаляет заражаемый файл, а GLYVEN.$$$ переименовывает в него.

Вирус не заражает файлы, размер которых меньше 8192 байт и файлы, которые начинаются со следующих строк:

  00
  AAAA
  AV
  EMM3
  EXPL
  NET
  PROG
  RUND
  

Деструктивная активность

После инфицирования вирус создает в корневом каталоге скрытый файл с именем GLYVxxxx.exe, где xxxx — число, вычисляемое по специальному алгоритму. Извлекает из инфицированного файла оригинальный EXE-файл, расшифровывает его и запускает этот файл на исполнение.

После завершения работы файл GLYVxxxx.exe не удаляется. В результате чего в корневом каталоге может скопиться множество скрытых файлов с именами вида GLYVxxxx.exe.

Из-за ошибки в реализации возможно повторное заражение инфицированного файла.

Вирус содержит строку:

[Designed by LiteSYS/XAKER]

Другие названия

Virus.Win32.Glyn («Лаборатория Касперского») также известен как: Win32.Glyn («Лаборатория Касперского»), W32/Glyn.b (McAfee), W32.Glyn (Symantec), Win32.Glyven.8192 (Doctor Web), Win32/Glyn.dr (RAV), PE_GLYN.B (Trend Micro), W32/Glyn (H+BEDV), W32/Glyven.B (FRISK), Win32/Glyn (Grisoft), BehavesLike:Win32.FileInfector (SOFTWIN), Win32/Glyn.A.Gener1 (Eset)