Alexey P.
19.09.2004, 13:55
Эта зараза была найдена на пиратском загрузочном диске WinXP.
Проверяйте новые диски сканерами :).
Aliases: W32/Kernl (Mcaffee), PE_ZOMBY.17920 (Trend) Win32.Zomby (AVP) Zomby (F-Prot)
Mcaffee: http://vil.nai.com/vil/content/v_98994.htm
================================================== ========
Virus Name ***Risk Assessment ***
W32/Kernl Corporate User : ***Low ***
******Home User *** : ***Low
Virus Information ***
Discovery Date: ***01/10/2001 ***
Origin: ***Unknown ***
Length: ***17,920 ***
Type: ***Virus ***
SubType: ***Trojan ***
Minimum DAT:***4116 (01/17/2001) ***
Updated DAT:***4241 (01/08/2003) ***
Minimum Engine: ***4.1.60 ***
Description Added: ***01/25/2001 ***
Description Modified: ***01/26/2001 9:36 AM (PT) ***
Virus Characteristics: ***
This is a PE file infector virus and backdoor trojan. When run, it copies itself to C:\WINDOWS\SYSTEM\KERNL32.EXE and creates the following registry key value to load the virus upon startup:
HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\KRNL=Kernl32.exe
The virus stays loaded in memory and every few minutes, it looks for all files that start with SETUP. When it finds a PE executable file that starts with the word SETUP and uses the .EXE extension it proceeds with writing its code to the front of the file.
The backdoor trojan component of this virus allows the author to delete and create directories, and delete, create, read, write, and move files.
In addition, this trojan gathers information such as free disk space, username, hostname, and remote access information, encrypts it, and sends it to one of 3 FTP sites as a .GIF file.
Symptoms ***
Increase in file size by 17,920 bytes. Presence of the file "C:\WINDOWS\SYSTEM\KERNL32.EXE". ***
Method Of Infection ***
The virus prepends SETUP*.EXE PE files with its code. ***
Removal Instructions ***
Use specified engine and DAT files for detection. To remove, boot to MS-DOS mode or use a boot diskette and use the command line scanner such as:
SCAN C: /CLEAN /ALL
Variants ***
Name ***Type ***Sub Type ***Differences ***
Aliases ***
Name ***
PE_ZOMBY.17920 (Trend) ***
Win32.Zomby (AVP) ***
Zomby (F-Prot)
================================================== ========
http://www.viruslist.ru/viruslist.html?id=4029
================================================== ========
NewExe вирусы Вирусы для Win32 ***
Win32.Zomby
Резидентный Win32-вирус с возможностями троянских программ удаленного администрирования. Заражает PE EXE-файлы, при этом записывается в начало файлов, предварительно сдвинув вниз их первоначальное содержимое. Для того, чтобы вернуть управление зараженному файлу вирус "лечит" его и запускает на выполнение.
При запуске зараженных файлов вирус выделяет свой "чистый код" и записывает его в системный каталог Windows под именем KERNL32.EXE. Затем вирус регистрирует этот файл в системном реестре в секции автозапуска программ:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run "KRNL"="Kernl32.exe"
Вирус затем активизирует два процесса (threads) и остается резидентно в памяти Windows как скрытое приложение (сервис). Первый вирусный процесс лечит и запускает на выполнение файл-носитель, второй процесс ждет 30 минут, затем ищет PE EXE-файлы в подкаталогох всех дисков и заражает их.
Backdoor-процедура является основной в коде вируса. Она открывает Internet-соединение, ждет команд "хозяина" и в зависимости от этих команд выполняет различные функции: высылает систеную информацию и пароли, принимает/отсылает указанные файлы, запускает программы на выполнение, создает/удаляет каталоги и т.п.
Перед тем, как активизировать backdoor-процедуру вирус отсылает информацию о пораженном компьютере. Для этого вирус устанавливает соединение с одной из трех Web-страниц (см. ниже), затем во временный файл записывает имя компьютера и пользователя, данные RAS (Remote Access Service), список дисков на компьютере и прочее; затем шифрует этот файл и под видом GIF-картинки отсылает на Web-страницу. Адреса этих страниц выглядят следующим образом:
Имя сервера Имя пользователя Пароль
www.chat.ru zo01 zo01zz
ftp.geocities.com zzo01 ivoryox17
upload.digiweb.com zo01 zo01zz
Вирус также содержит строки:
ZOMBY1 v.1.08 05-24-99
This program is only for educational purposes.
The author takes no responsibility for anything
anyone does with this program.
================================================== ========
Проверяйте новые диски сканерами :).
Aliases: W32/Kernl (Mcaffee), PE_ZOMBY.17920 (Trend) Win32.Zomby (AVP) Zomby (F-Prot)
Mcaffee: http://vil.nai.com/vil/content/v_98994.htm
================================================== ========
Virus Name ***Risk Assessment ***
W32/Kernl Corporate User : ***Low ***
******Home User *** : ***Low
Virus Information ***
Discovery Date: ***01/10/2001 ***
Origin: ***Unknown ***
Length: ***17,920 ***
Type: ***Virus ***
SubType: ***Trojan ***
Minimum DAT:***4116 (01/17/2001) ***
Updated DAT:***4241 (01/08/2003) ***
Minimum Engine: ***4.1.60 ***
Description Added: ***01/25/2001 ***
Description Modified: ***01/26/2001 9:36 AM (PT) ***
Virus Characteristics: ***
This is a PE file infector virus and backdoor trojan. When run, it copies itself to C:\WINDOWS\SYSTEM\KERNL32.EXE and creates the following registry key value to load the virus upon startup:
HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\KRNL=Kernl32.exe
The virus stays loaded in memory and every few minutes, it looks for all files that start with SETUP. When it finds a PE executable file that starts with the word SETUP and uses the .EXE extension it proceeds with writing its code to the front of the file.
The backdoor trojan component of this virus allows the author to delete and create directories, and delete, create, read, write, and move files.
In addition, this trojan gathers information such as free disk space, username, hostname, and remote access information, encrypts it, and sends it to one of 3 FTP sites as a .GIF file.
Symptoms ***
Increase in file size by 17,920 bytes. Presence of the file "C:\WINDOWS\SYSTEM\KERNL32.EXE". ***
Method Of Infection ***
The virus prepends SETUP*.EXE PE files with its code. ***
Removal Instructions ***
Use specified engine and DAT files for detection. To remove, boot to MS-DOS mode or use a boot diskette and use the command line scanner such as:
SCAN C: /CLEAN /ALL
Variants ***
Name ***Type ***Sub Type ***Differences ***
Aliases ***
Name ***
PE_ZOMBY.17920 (Trend) ***
Win32.Zomby (AVP) ***
Zomby (F-Prot)
================================================== ========
http://www.viruslist.ru/viruslist.html?id=4029
================================================== ========
NewExe вирусы Вирусы для Win32 ***
Win32.Zomby
Резидентный Win32-вирус с возможностями троянских программ удаленного администрирования. Заражает PE EXE-файлы, при этом записывается в начало файлов, предварительно сдвинув вниз их первоначальное содержимое. Для того, чтобы вернуть управление зараженному файлу вирус "лечит" его и запускает на выполнение.
При запуске зараженных файлов вирус выделяет свой "чистый код" и записывает его в системный каталог Windows под именем KERNL32.EXE. Затем вирус регистрирует этот файл в системном реестре в секции автозапуска программ:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run "KRNL"="Kernl32.exe"
Вирус затем активизирует два процесса (threads) и остается резидентно в памяти Windows как скрытое приложение (сервис). Первый вирусный процесс лечит и запускает на выполнение файл-носитель, второй процесс ждет 30 минут, затем ищет PE EXE-файлы в подкаталогох всех дисков и заражает их.
Backdoor-процедура является основной в коде вируса. Она открывает Internet-соединение, ждет команд "хозяина" и в зависимости от этих команд выполняет различные функции: высылает систеную информацию и пароли, принимает/отсылает указанные файлы, запускает программы на выполнение, создает/удаляет каталоги и т.п.
Перед тем, как активизировать backdoor-процедуру вирус отсылает информацию о пораженном компьютере. Для этого вирус устанавливает соединение с одной из трех Web-страниц (см. ниже), затем во временный файл записывает имя компьютера и пользователя, данные RAS (Remote Access Service), список дисков на компьютере и прочее; затем шифрует этот файл и под видом GIF-картинки отсылает на Web-страницу. Адреса этих страниц выглядят следующим образом:
Имя сервера Имя пользователя Пароль
www.chat.ru zo01 zo01zz
ftp.geocities.com zzo01 ivoryox17
upload.digiweb.com zo01 zo01zz
Вирус также содержит строки:
ZOMBY1 v.1.08 05-24-99
This program is only for educational purposes.
The author takes no responsibility for anything
anyone does with this program.
================================================== ========