Kaspersky Threats — CyberTech

Classe

Plataforma

Descrição

Detalhes técnicos

É um vírus parasita residente na memória muito perigoso. Quando um programa infectado é executado, o vírus infecta o arquivo KERNEL do Windows. Quando um KERNEL infectado é executado, o vírus intercepta a função WinExec e grava a si mesmo no final dos arquivos NewEXE que são executados.

Para infectar o KERNEL, o vírus obtém o acesso a esse arquivo usando a função documentada GetModuleHandle, em seguida, o vírus grava seu código no arquivo KERNEL (KRNL286.EXE ou KRNL386.EXE) e corrige os dados do sistema nesse arquivo para que O endereço da rotina WinExec no KERNEL infectado aponta para o código do vírus. Em seguida, o vírus retorna o controle para o arquivo novo do host. Assim, quando o arquivo infectado é executado, o vírus infecta apenas o arquivo KERNEL.

Quando o sistema com o KERNEL infectado está sendo carregado, o vírus permanece residente na memória como parte do código KERNEL e corrigiu os pontos de endereço do WinExec no manipulador de vírus. Quando um arquivo NewEXE é executado, o vírus o infecta.

O vírus separa os arquivos infectados e não infectados usando o rótulo de ID "LROY" que o vírus grava no campo de soma de verificação no cabeçalho NewEXE ao infectar um arquivo.

Dependendo da data do sistema e do número do dia, o vírus exibe a caixa de mensagem com o título:



Chicago 7: tumulto cibernético

e as mensagens dentro. O vírus exibe mensagens diferentes, em abril a partir do dia 29 e no dia 1º de maio:



Feliz aniversário, Los Angeles!

Anarquistas do mundo, unam-se!

Em qualquer sexta-feira antes do dia 13 de um mês:



Quando o dique quebra, não tenho onde ficar …

(Chorar não vai te ajudar. Orar não te fará bem.)

Em 6 de março e em dezembro de 1 a 26:



Salve a baleia, arpão um gato gordo.

Depois de exibir a mensagem, o vírus apaga os setores do disco.

O vírus também contém as cadeias de texto:



KERNEL DE USUÁRIO Chicago-7 CyberRiot, 15.1.1993 Klash (Werner L.)

Sommer 1993: 15 Windowscomputerviren

Em breve: Diet motim. Mesmo ótimo sabor – menos bytes.

Código fonte disponível para $ 15.000.000. Apenas inquéritos sérios.

Por que a IBM precisa me demitir? Oh bem, a perda deles.

Equação de FUD da McAfee: !!!!!! + ?????? = $$$$$$

Condenar os porcos

Este programa foi escrito nas cidades de Hamburgo, Chicago, Seattle e

Berkeley Copyright (C) 1993 Klash / Skism / George J / Phalcon / Henry Buscombe

e 2 ex-Softies, conhecidos coletivamente como Chicago 7.

Link para o original

Classe	Virus
Plataforma	Win16
Descrição	Detalhes técnicos É um vírus parasita residente na memória muito perigoso. Quando um programa infectado é executado, o vírus infecta o arquivo KERNEL do Windows. Quando um KERNEL infectado é executado, o vírus intercepta a função WinExec e grava a si mesmo no final dos arquivos NewEXE que são executados. Para infectar o KERNEL, o vírus obtém o acesso a esse arquivo usando a função documentada GetModuleHandle, em seguida, o vírus grava seu código no arquivo KERNEL (KRNL286.EXE ou KRNL386.EXE) e corrige os dados do sistema nesse arquivo para que O endereço da rotina WinExec no KERNEL infectado aponta para o código do vírus. Em seguida, o vírus retorna o controle para o arquivo novo do host. Assim, quando o arquivo infectado é executado, o vírus infecta apenas o arquivo KERNEL. Quando o sistema com o KERNEL infectado está sendo carregado, o vírus permanece residente na memória como parte do código KERNEL e corrigiu os pontos de endereço do WinExec no manipulador de vírus. Quando um arquivo NewEXE é executado, o vírus o infecta. O vírus separa os arquivos infectados e não infectados usando o rótulo de ID "LROY" que o vírus grava no campo de soma de verificação no cabeçalho NewEXE ao infectar um arquivo. Dependendo da data do sistema e do número do dia, o vírus exibe a caixa de mensagem com o título: Chicago 7: tumulto cibernético e as mensagens dentro. O vírus exibe mensagens diferentes, em abril a partir do dia 29 e no dia 1º de maio: Feliz aniversário, Los Angeles! Anarquistas do mundo, unam-se! Em qualquer sexta-feira antes do dia 13 de um mês: Quando o dique quebra, não tenho onde ficar … (Chorar não vai te ajudar. Orar não te fará bem.) Em 6 de março e em dezembro de 1 a 26: Salve a baleia, arpão um gato gordo. Depois de exibir a mensagem, o vírus apaga os setores do disco. O vírus também contém as cadeias de texto: KERNEL DE USUÁRIO Chicago-7 CyberRiot, 15.1.1993 Klash (Werner L.) Sommer 1993: 15 Windowscomputerviren Em breve: Diet motim. Mesmo ótimo sabor – menos bytes. Código fonte disponível para $ 15.000.000. Apenas inquéritos sérios. Por que a IBM precisa me demitir? Oh bem, a perda deles. Equação de FUD da McAfee: !!!!!! + ?????? = $$$$$$ Condenar os porcos Este programa foi escrito nas cidades de Hamburgo, Chicago, Seattle e Berkeley Copyright (C) 1993 Klash / Skism / George J / Phalcon / Henry Buscombe e 2 ex-Softies, conhecidos coletivamente como Chicago 7.
	Link para o original

Virus.Win16.CyberTech

Detalhes técnicos