Exe -filer är infekterade med Ovagur -viruset

Ovagur-viruset sprider sig främst genom filer med exe-tillägg och försök att infektera utvalda datorer inte bara av sig själv utan också av två andra trojaner.

Ovagur-viruset skapar ett antal filer på infekterade datorer och ändrar sedan registret. Den övervakar sedan kontinuerligt DZ-enheten. Om du hittar flyttbara enheter eller nätverksenheter bland dem kommer den att försöka infektera filerna med .exe-tillägget på dem. Under tiden döljer den sina egna filer genom en rootkit-komponent.

Förutom sig själv installerar Ovagur-viruset även en Troopprer och en Haxdoor.N-trojan på din dator.

När Ovagur-viruset startar utför det följande åtgärder:

1. Skapa följande filer:
% Windir% \ ocmsn.old
% System% \ NvVid.sys
% System% \ NvVid.exe
% Windir% \ ocmsn.log
% Windir% \ ocgen.log

2. Skapa följande poster i registreringsdatabasen:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ N vVideoCenter
HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \ ENUM \ ROOT \ LEGACY_NVVIDEOCENTER

3. Registreringsdatabasen
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
lägger till din nyckel
“NvVideoCenter” = “% SYSTEM% \ NvVid.exe”.

4. Använd rootkit-tekniker för att dölja dina filer.

5. Genomsöker DZ-enheter med jämna mellanrum efter filer med filtillägget .exe.

6. Om du hittar en fil med filtillägget .exe som är större än 200 000 byte på en flyttbar enhet eller nätverksenhet, kommer den att infektera den.

7. Skapa följande fil som innehåller en Dropper Trojan:
% Temp% \ tmp107.tmp

8. Skapa följande filer som tillhör en Haxdoor.N-trojan:
% Temp% \ [slumptal] .gif
% System% \ dvb03a.dll
% System% \ dvb03a.sys
% System% \ dvb06a.sys
% System% \ qo.sys
% System% \ qo.dll.