(PE_POLIP.A, W32/Polip.A, W32/Polip, System error, Parser error, Generic.dx, Win32.Polip.Gen, W32/Autorun.worm.gen, Virus:Win32/Cekar.B, Win32.Polip.A, Malware-Cryptor.Win32.Palka, Virus:Win32/Polip.A
, Win32/Bacalid, Virus:Win32/Polip.A, Worm/Delf.FOG, TR/VB.Downloader.Gen, P2P-Worm.Win32.Polip.a, WORM_PERLOVGA.F, Win32/Polipos, Win32.Bacalid.A, Worm.Win32.AutoRun.aaq, W32/Polip.A - Packed, Virus.Win32.Polip.A)
Win32.Polipos представляет собой сложный полиморфный вирус.
Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом основное зашифрованное тело вируса записывается в новой секции.
При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют следующие имена процессов:
savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll, smss, csrss, spoolsv, ctfmon, temp.
Таким образом, в памяти оказываются несколько копий вируса каждая из которых
отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся общедоступными для участников этой сети.
Win32.Polipos перехватывает следующие API функции:
ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW.
При вызове вышеперечисленных функций происходит заражение новых файлов.
При передаче управления файлу-жертве с оверлеями (sfx-архивы, дистрибутивы и т.д.)
вирус создает чистую копию во временном каталоге с именем ptf*.tmp, которую и запускает.
Вирус удаляет следующие файлы антивирусных программ:
drwebase.vdb, avg.avi, vs.vsn, anti-vir.dat, avp.crc, chklist.ms,ivb.ntz, ivp.ntz, chklist.cps, smartchk.ms, smartchk.cps, aguard.dat, avgqt.dat, lguard.vps.
Win32.Polipos не заражает файлы, имена которых содержат следующие строки:
tb dbg f- nav pav mon rav nvc fpr dss ibm inoc scn pack vsaf vswp fsav
adinf sqstart mc watch kasp nod setup temp norton mcafee anti tmp
secure upx forti scan zone labs alarm symantec retina eeye virus
firewall spider backdoor drweb viri debug panda shield kaspersky
doctor trend micro sonique cillin barracuda sygate rescue pebundle ida
spf assemble pklite aspack disasm gladiator ort expl process eliashim
tds3 starforce safe'n'sec avx root burn aladdin esafe olly grisoft avg
armor numega mirc softice norman neolite tiny ositis proxy webroot
hack spy iss pkware blackice lavasoft aware pecompact clean hunter
common kerio route trojan spyware heal alwil qualys tenable avast a2
etrust spy steganos security principal agnitum outpost avp personal
softwin defender intermute guard inoculate sophos frisk alwil protect
eset nod32 f-prot avwin ahead nero blindwrite clonecd elaborate
slysoft hijack roxio imapi newtech infosystems adaptec swift sound
copystar astonsoft gear software sateira dfrgntfs
Вирус содержит строку Win32.Polipos v1.2 by Joseph .
