病毒名称(中文):
古董
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
其它
病毒长度:
9108
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个变形感染病毒,该病毒会感染机器上的可执行文件,挂钩系统API进行被动感染,
连接远程IRC服务器,接收指令,下载指定的文件。
1.创建事件:
"VT_3"
2.创建内存映像:
"W32Map_Virtu"
3.挂钩以下系统API
ntdll.ZwCreateFile
ntdll.ZwOpenFile
ntdll.ZwCreateProcess
4.尝试打开注册表:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
TargetHost
5.感染后缀为:EXE和SCR的可执行文件:
假如文件名以下面的开始,则不感染
WINC
WCUN
WC32
PSTO
6.连接IRC服务器:
proxim.ircgalaxy.pl
加入频道:
#virtu
接收远程指令。
7.病毒内附加的内容:
Theglacier"sgrayadorneditselfforyou
Todaywithroses;
Thebrookseeksyou,
andfulloflongingrises
Thewind,thecloud,
intothevaultingblue
Tolookforyoufromdizzybird"s-eyeview