Trojan.Agent/Gen-RunOnce & W32/Chir Scanner v1.0

Wav3 · September 21, 2011

Trojan.Agent/Gen-RunOnce & W32/Chir Scanner v1.0

Despre virus

Odata deschis, se copiaza la startup apoi bindeaza toate executabilele cu el insasi (astfel ca la deschiderea oricarui fisier bindat cu el, e ca si cum ai intra direct in virus si procesul de virusare o ia de la cap) si injecteaza <html><script language="JavaScript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")</script></html> la sfarsitul tuturor fisierelor HTML.

Are ca scop spreading-ul via email. Alaturi de fiecare executabil, creaza un fisier readme.eml.

Din ce spune Mcafee, virusul cauta adrese de email in calculator si trimite mail-uri folosind propriul SMTP.

Numele principal este runouce.exe (a nu se confunda cu runonce.exe) si poate fi gasit hidden in %windir%\system32\.

Mai poate fi gasit sub urmatoarele nume :

- pp.exe

- serverx.exe

- runouce.exe.kav

- 000pp.exe

- 43359073.dat

- dd2.EXE

- 04268204.dat

- 94461136.exe

- 67813805.exe

- 05602751.svd

Calea catre startup este : HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Runonce si nu poate fi gasit de catre msconfig.

Este detectat de Avira care chiar ofera posibilitatea de Repair insa este inutila pentru ca nu le repara; nu le face nimic.

Partea buna este ca nu poate infecta fisierele in use, cele arhivate sau pe cele din windows (este doar un text editor).

Mai multe detalii despre virus : W32/Chir.b@MM - Malware - McAfee Labs Threat Center

Acest tool scaneaza toate fisierele .exe, .html, .htm , .eml si bonus .php si este capabil sa repare fisierele .html, .htm, .eml si .php si sa stearga pe cele .exe