ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Win16.CyberTech

Classe Virus
Plataforma Win16
Descrição

Detalhes técnicos

É um vírus parasita residente na memória muito perigoso. Quando um programa infectado é executado, o vírus infecta o arquivo KERNEL do Windows. Quando um KERNEL infectado é executado, o vírus intercepta a função WinExec e grava a si mesmo no final dos arquivos NewEXE que são executados.

Para infectar o KERNEL, o vírus obtém o acesso a esse arquivo usando a função documentada GetModuleHandle, em seguida, o vírus grava seu código no arquivo KERNEL (KRNL286.EXE ou KRNL386.EXE) e corrige os dados do sistema nesse arquivo para que O endereço da rotina WinExec no KERNEL infectado aponta para o código do vírus. Em seguida, o vírus retorna o controle para o arquivo novo do host. Assim, quando o arquivo infectado é executado, o vírus infecta apenas o arquivo KERNEL.

Quando o sistema com o KERNEL infectado está sendo carregado, o vírus permanece residente na memória como parte do código KERNEL e corrigiu os pontos de endereço do WinExec no manipulador de vírus. Quando um arquivo NewEXE é executado, o vírus o infecta.

O vírus separa os arquivos infectados e não infectados usando o rótulo de ID "LROY" que o vírus grava no campo de soma de verificação no cabeçalho NewEXE ao infectar um arquivo.

Dependendo da data do sistema e do número do dia, o vírus exibe a caixa de mensagem com o título:


Chicago 7: tumulto cibernético
e as mensagens dentro. O vírus exibe mensagens diferentes, em abril a partir do dia 29 e no dia 1º de maio:

Feliz aniversário, Los Angeles!
Anarquistas do mundo, unam-se!
Em qualquer sexta-feira antes do dia 13 de um mês:

Quando o dique quebra, não tenho onde ficar …
(Chorar não vai te ajudar. Orar não te fará bem.)
Em 6 de março e em dezembro de 1 a 26:

Salve a baleia, arpão um gato gordo.
Depois de exibir a mensagem, o vírus apaga os setores do disco.

O vírus também contém as cadeias de texto:


KERNEL DE USUÁRIO Chicago-7 CyberRiot, 15.1.1993 Klash (Werner L.)
Sommer 1993: 15 Windowscomputerviren
Em breve: Diet motim. Mesmo ótimo sabor – menos bytes.
Código fonte disponível para $ 15.000.000. Apenas inquéritos sérios.
Por que a IBM precisa me demitir? Oh bem, a perda deles.
Equação de FUD da McAfee: !!!!!! + ?????? = $$$$$$
Condenar os porcos
Este programa foi escrito nas cidades de Hamburgo, Chicago, Seattle e
Berkeley Copyright (C) 1993 Klash / Skism / George J / Phalcon / Henry Buscombe
e 2 ex-Softies, conhecidos coletivamente como Chicago 7.


Link para o original