PE_Infix.4608
(lub WinNT.Infis)
PE_Infix.4608 jest
wirusem atakującym pliki .EXE w środowisku Windows NT. Nie zaraża środowiska
Windows 95/98 oraz Windows 2000. W wyniku działania wirusa zakażone pliki
pozostają uszkodzone i już nie mogą być uruchomione !
Według Network World wirus powstał na terenie Rosji i jak dotąd nie
potwierdzono jego powszechnego występowania, jakkolwiek z racji położenia
geograficznego może pojawić się wkrótce w Polsce.
Zakażenie
Wirus zaraża wyłącznie pliki PE (Portable
Executable) EXE, z wyjątkiem CMD.EXE (Windows NT command processor). Długość
zarażonego pliku jest większa o 4608 bajtów (długość kodu wirusa).
Zaatakowane pliki sa oznaczane poprzez zmianę parametru "date and
time" na FFFFFFFFh ( -1).
Po uruchomieniu wirus tworzy w folderze WINNT\System32\Drivers plik
"INF.SYS", który zawiera kompletny kod. Plik ten instalowany jest
jako rezydentny sterownik WinNT. Zagrożone są pliki EXE, ale wyłącznie w
środowisku WinNT 4.0. Następnie wirus modyfikuje system rejestrów Windows:
\Registry\Machine\System\CurrentControlSet\Services\inf
Type = 1 - standard Windows
NT driver
Start = 2 - driver start mode
ErrorControl = 1 - continue system loading on error in driver
i w rezultacie aktywuje się po każdym
uruchomieniu systemu, przejmując kontrolę nad wewnętrznymi,
niedokumentowanymi funkcjami Windows NT.
Symptomy
- Niemożność uruchomienia niektórych
programów, na przykład: MSPAINT.EXE, CALC.EXE, CDPLAYER.EXE.
- Plik INF.SYS w folderze
/WinNT/System32/Drivers.
Skutki
PE_Infix.4608
nie jest zbyt złośliwy, jakkolwiek zawiera błędy, które powodują
uszkodzenie plików, które zaraża. W konsekwencji uruchomienie niektórych
programów może okazac się niemożliwe. Zaleca się, aby użytkownicy
programów Trend Micro stosowali najnowsze wzorce
wirusów, bądź korzystali z coraz powszechniej dostępnego serwisu HouseCall
Opracowano na podstawie materiałów Trend
Micro
© 1999 Trend Micro Incorporated. All Rights Reserved
