W64.Shruggle.1318

O W64.Shruggle.1318 é um vírus de infecção de ação direta, similar ao W64.Rugrat.3344, que infecta arquivos executáveis portáteis (PE, Portable Executable) do AMD64 Windows. É ainda um vírus proof-of-concept (com algo novo ou que nunca foi visto) razoavelmente simples. Entretanto, ele é o primeiro vírus conhecido a atacar executáveis no Windows 64-bit em sistemas AMD64.

O vírus é escrito em um código AMD64 assembly.



O vírus utiliza um pequeno número de API Win64 a partir das três bibliotecas a seguir:

• Ntdll.dll
• Sfc_os.dll
• Kernel32.dll

Do Ntdll.dll, o vírus usa as seguintes funções:

• LdrGetDllHandle()
• RtlAddVectoredExceptionHandler()
• RtlRemoveVectoredExceptionHandler()

O vírus suporta tratamento vetorizado de exceção para evitar travamentos durante as infecções.

A função SfcIsFileProtected() do Sfc_os.dll é usada para evitar a infecção de executáveis que são protegidos pelo System File Checker (SFC).

As 16 funções a seguir são usadas a partir do Kernel32.dll para implementar uma infecção-padrão de arquivo de uma imagem do executável portátil do AMD64:

• CreateFileMappingA()
• CreateFileW()
• CloseHandle()
• FindFirstFileW()
• FindNextFileW
• FindClose()
• GetFullPathNameW()
• GetTickCount()
• GlobalAlloc()
• GlobalFree()
• LoadLibraryA()
• MapViewOfFile()
• SetCurrentDirectoryW()
• SetFileAttributesW()
• SetFileTime()
• UnmapViewOfFile()

O vírus carrega dentro dele a seguinte string, que nunca é exibida:

Shrug - roy g biv

A rotina de infecção do arquivo é padrão. A última seção do executável é marcada como executável, o corpo do vírus é inserido dentro da última seção e um número aleatório de bytes é anexado ao final do corpo do vírus.

O autor do vírus é também o autor de outros vírus proof-of-concept. Eles estão reunidos sob o nome W32.Chiton.gen (este recurso encotnra-se em inglês).