|
|
|
|
Новости о вирусах и антивирусах |
При запуске инфицированного файла вирус производит расшифровку собственного тела полиморфным декриптором. При расшифровке вирус использует некоторые антиотладочные трюки. Следует сказать, что в процессе всего своего функционирования вирус постоянно проверяет разными способами наличие системного отладчика и, в случае его присутствия, генерирует исключение общей защиты Windows, что приводит к завершению работы приложения, из которого вирус стартовал либо приложения Explorer.
Далее вирус определяет необходимые ему для работы адреса Win32 API функций, получает имя компьютера и в зависимости от него, по определенному закону, формирует имя специального файла, в котором в дальнейшем вирусом будут сохранены необходимые ему данные, а также имя отображаемой секции памяти. Далее вирус создает в памяти отображаемую секцию с указанным именем и копирует в нее свой код. Если секция уже существует, то вирус считает, что его активная копия уже присутствует в памяти, восстанавливает исходный код файла и передает на него управление.
После этого вирус получает список запущенных процессов в системе, находит процесс EXPLORER.EXE, анализирует его таблицу секций, находит свободное место и внедряет в него 110 байт своего кода, далее подобным же образом вирус анализирует таблицу импортов, находит адрес функции TranslateMessage и замещает адрес этой функции на адрес собственной, ранее внедренной, процедуры.
Копия вирус в контексте запущенного процесса-родителя дожидается передачи управления на внедренную процедуру в контексте процесса Explorer. Получая управление, вирусная процедура создает вирусную нить (thread) в контексте процесса Explorer. После этого вирус восстанавливает исходный код программы-родителя и передает на нее управление.
Поскольку процесс Explorer постоянно находится в памяти в текущей пользовательской сессии, вирусная нить активна весь сеанс работы пользователя.
После получения управления в нити, вирус ожидает 18 секунд, инициализирует адреса необходимых ему системных функций, создает свой файл данных и инициализирует свою E-mail часть. Вирус находит в системе зарегистрированные E-mail клиенты Outlook Express, Netscape Messenger или Internet Mail, получает адреса их почтовых баз, имя и электронный адрес текущего пользователя и адрес SMTP-сервера для отправки сообщений. В теле вируса хранится список из десяти последних электронных адресов, с которых происходило размножение вируса, и вирус вносит текущий адрес в список. Список существует для задержки повторной отсылки копий на ранее инфицированные компьютеры. В случае, если в процессе данной инициализации возникла ошибка, вирус завершает свою работу. Таким образом, вирус способен размножаться только при инсталлированных в систему и соответствующим образом настроенных вышеперечисленных клиентах электронной почты.
После чего вирус входит в основной цикл размножения.
Вирус ищет в системном каталоге Windows первый подходящий файл с расширением EXE или SCR, копирует его в файл, отличающийся от оригинального последней буквой имени, инфицирует это копию, и прописывает его автозапуск в реестр. При запуске данного файла вирус будет работать в "скрытом" режиме, т.е. инфицируя процесс Explorer в памяти и завершая работу этого приложения, не выполняя оригинальный код программы-жертвы.
Далее вирус определяет наличие интернет-соединения и пытается установить HTTP-соединение с одним из серверов из списка:
После этого вирус пытается отправить письмо, содержащее случайный текст из набора заготовок, содержащихся в вирусном коде или же содержащий случайные куски из найденных на диске TXT или DOC файлов с прикрепленным файлом объемом менее 132Kb, инфицированным вирусной копией. При этом с вероятностью 1/5 вирус может изменить первую букву электронного адреса отправителя видимо для того, чтобы получатель не смог послать уточняющее письмо при получении вирусной копии.
Далее с вероятностью 1/4 вирус проходит все доступные логические диски, ищет на них каталоги с именами:
После этого вирус проходит все каталоги всех дисков и также инфицирует содержащиеся в них файлы. Исполняемые файлы инфицируется путем внедрения полиморфного вирусного кода по адресу точки входа в файл, который передает управление на полиморфный декриптор, лежащий в конце инфицированного файла, который уже, в свою очередь, производит дешифровку основного вирусного кода и передачу на него управления. Перед попыткой инфицирования файла вирус предварительно проверяет, не защищен ли файл встроенной системой защиты файлов System File Checker, которая используется в Windows 2000 и Windows Me.
Следует отметить, что каждый из вышеописанных шагов производятся вирусом с определенной вероятностью в зависимости от значения внутренних счетчиков и с определенными задержками.
В зависимости от своих счетчиков через месяц после внедрения в систему вирус может стереть все файлы на всех дисках и доступных на запись сетевых ресурсов, заполняя их содержимое повторяющейся строкой:
YOUARESHIT
а также под Win9x/Me попытаться стереть содержимое CMOS, Flash BIOS и обнулить содержимое Master Boot Records первого жесткого диска. При этом вирус выводит сообщение:
Another haughty bloodsucker....... YOU THINK YOU ARE GOD , BUT YOU ARE ONLY A CHUNK OF SHIT
В теле вируса содержится текстовая строка:
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden)
Информационная служба ЗАО "ДиалогHаука"
E-mail: Antivir@antivir.ru
WWW: http://www.antivir.ru
|
Получить информацию о других интересных вирусах |