Win32.HIV — зашифрованный Win32-вирус

Опасный зашифрованный Win32-вирус, размер — более 6Kb. Заражает PE EXE-файлы (приложения Windows) на диске и в MSI-архивах, рассылает по электронной почте XML-скрипты, которые загружают на компьютер копию вируса из Internet.

Вирус использует анти-отладочные приемы и завешивает систему, если обнаружен стандартный отладчик или отладчик SoftICE.

Вирус пытается отключить встроенную в Windows систему защиты файлов (Windows File Protection). Под Win98 вирус записывает пустые данные в файл DEFAILT.SFC, под Win2000 — в файл SFCFILES.DLL. Этот прием, видимо, работает только под Win98. Win2000 либо блокирует доступ к файлу
SFCFILES.DLL, либо немедленно восстанавливает его из резервной копии.

При старте вирус ищет PE EXE файлы в текущем каталоге и заражает их. Затем вирус остается в памяти Windows как часть зараженного приложения, перехватывает функции работы с файлами и заражает их. Вирус в результате активен в памяти Windows до момента окончания работы зараженной программы.

В некоторых случаях, если файловая система на компьютере — NTFS, вирус создает в зараженных файлах дополнительный «поток» (NTFS stream) с именем «HIV» (полное имя — «filename.ext:HIV») и записывает в него текст:

This cell has been infected by HIV virus, generation: 0xNNNNNNNN

где NNNNNNNN является номером «поколения» вируса.

При старте вирус также ищет файлы *.HTML в текущем каталоге и замещает их новыми файлами, которые имеют дополнительное (второе) расширение имени .XML :

Незараженный файл: File.html

Зараженный файл: File.html.xml

В заражаемые HTML-файлы вирус записывает скрипт, которые открывает Internet-файл:

http://coderz.net/benny/viruses/press.txt

На самом деле этот файл является не обычным текстовым файлом, а XML-страницей со скриптом, который скачивает с того же Internet-сайта файл MSXMLP.EXE и регистрирует его в системном реестре в секции автозапуска.

Вирус открывает базу данных WAB (Windows Address Book), считывает из нее адреса электронной почты и рассылает по ним сообщения:

From: press@microsoft.com
Sent: 2010/06/06 22:00
Тема письма: XML presentation
Тело письма:

Please check out this XML presentation and send us your opinion.
If you have any questions about XML presentation, write us.
Thank you,
The XML developement team, Microsoft Corp.

Имя присоединенного файла: press.txt

Подробнее о Win32.HIV вы можете прочитать в вирусной энциклопедии Лаборатории Касперского.