PE_KRIZ

CRM
 Oracle CRM
Ochrona
 Usuń wirusy
 Programy
 Trend Micro
 Uaktualnienia
 Sklep
                 

Niebezpieczny następca: PE_KRIZ (znany także jako W/32.KRIZ)

Mamy do przekazania dwie wiadomości: dobrą i złą. Zła jest taka, że skutki działania PE_KRIZ mogą być bardziej destrukcyjne niż poznanego już ze złej strony PE_CIH, dobra: jeszcze nie jest to wirus rozpowszechniony.
PE_KRIZ jest wirusem polimorficznym, rezydentnym, który zaraża wykonywalne pliki systemu Windows (*.EXE i *.DLL). Skutki jego działania będą widoczne 25 grudnia. Zaatakowana zostanie pamięć CMOS, Flash BIOS oraz wszelkie pliki zapisane na dyskach komputera. W odróżnieniu od Melisy i TROJ_EXPLOREZIP, PE_KRIZ nie rozpowszechnia się automatycznie w sieci i nie wykorzystuje poczty e-mail. Infekcja następuje wyłącznie po uruchomieniu zarażonego programu.
Zostaje zakażony wówczas plik KERNELL32.DLL (po uprzednim przepisaniu go do katalogu WINDOWS\SYSTEM\KRIZED.TT6), tworzony jest plik WINDOWS\WININIT.INI zawierający linię:

[rename] C:\WINDOWS\SYSTEM\KERNEL32.DLL=C:\WINDOWS\SYSTEM\KRIZED.TT6.

Każdorazowe uruchomienie systemu powoduje aktywację wirusa i możliwość zakażenia każdego uruchamianego pod Windows programu. Zarażona kopia KERNEL32.DLL kontroluje następujące funkcje:
· CopyFileA
· CopyFileW
· CreateFileA
· CreateFileW
· CreateProcessA
· CreateProcessW
· DeleteFileA
· DeleteFileW
· GetFileAttributesA
· GetFileAttributesW
· MoveFileA
· MoveFileW
· MoveFileExA
· MoveFileExW
· SetFileAttributesA
· SetFileAttributesW

Kod wirusa pozostaje zakodowany. Analizuje nazwy potencjalnych ofiar i nie zakaża poniższych plików (w większości programów antywirusowych):

· _AVP32.EXE
· _AVPM.EXE
· ALERTSVC.EXE
· AMON.EXE
· AVP32.EXE
· AVPM.EXE
· N32SCANW.EXE
· NAVAPSVC.EXE
· NAVAPW32.EXE
· NAVLU32.EXE
· NAVRUNR.EXE
· NAVWNT.EXE
· NOD32.EXE
· NPSSVC.EXE
· NSCHEDNT.EXE
· NSPLUGIN.EXE
· SCAN.EXE
· SMSS.EXE

Programy Trend Micro wykrywają PE_KRIZ (wzorce 574 lub nowsze), jednak wirus złośliwie zamazuje pierwotną zawartość zaatakowanych plików, przez co nie mogą być one przywrócone do pełnej sprawności.

Zachęcamy do odwiedzenia naszego SKLEPU , zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWEJ

Opracowano na podstawie materiałów Trend Micro
© 1999 Trend Micro Incorporated. All Rights Reserved

 

 

 

               

Copyright  Air Trend 1999-2004