Classe principal: VirWare
Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.Classe: Virus
Os vírus replicam nos recursos da máquina local. Ao contrário dos worms, os vírus não usam serviços de rede para propagar ou penetrar em outros computadores. Uma cópia de um vírus só chegará aos computadores remotos se o objeto infectado, por algum motivo não relacionado à função de vírus, estiver ativado em outro computador. Por exemplo: ao infectar discos acessíveis, um vírus penetra em um arquivo localizado em um recurso de rede, um vírus se copia para um dispositivo de armazenamento removível ou infecta um arquivo em um dispositivo removível que um usuário envia um email com um anexo infectado.Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
Detalhes técnicos
Este vírus se espalha sob Win32 (Win95 / 98 e WinNT) e infecta os arquivos PE EXE (Portable Executable). O vírus tem tamanho bastante grande para um programa escrito em Assembler - cerca de 15Kb. É vírus polimórfico.
A característica mais interessante deste vírus é a sua capacidade de enviar arquivos EXE infectados para a Internet usando protocolos padrão de e-mail (veja também outros vírus que enviam mensagens infectadas via e-mail: "Win.RedTeam" , "Macro.Word97.Antimarc" , " Macro.Word.Innuendo " , " Macro.Word.ShareFun " ).
Dependendo do contador aleatório, o vírus chama sua segunda rotina de acesso à Internet. Desta vez, o vírus não espalha suas cópias, mas apenas procura o banco de dados DialUp e envia para o autor do vírus.
O código do vírus contém os "direitos autorais" do autor:
- Parvo BioCoded por GriYo / 29A - Suporte Técnico Win32 por Jacky Qwerty / 29A- Obrigado a Darkman / 29A e b0z0 / Ikx pelas suas ideias e estratégia- Parvo é um espécime de pesquisa, não distribuir- c1999 29A Labs ... Criamos vida -
Muitas rotinas de vírus (infecção, polimórfica) têm os mesmos recursos, como o vírus "Win95.Marburg" . O vírus se grava no final da última seção do arquivo; não modifica o endereço de entrada do PE, mas corrige o código de entrada do programa original com a instrução JMP_Virus, ou com um bloco de código indesejado que, no final, passa o controle para o código de vírus; etc
Quando o vírus assume o controle, o loop de decodificação polimórfico e a rotina de decriptografia lite adicional restauram o código do vírus e passam o controle para a rotina principal do vírus.
O vírus protege seu código usando o método CRC. Calcula o CRC do seu código e sai, se o CRC não estiver correto. Parece que esse recurso é necessário para o vírus porque ele envia arquivos infectados pela Internet, portanto, a verificação de CRC impede a execução de cópias corrompidas.
O vírus então verifica o kernel do Windows e procura por acesso, pesquisa e outras funções da API usadas pelo vírus. Ao procurar por funções da API, o vírus não usa seus nomes, mas somas de verificação. Para encontrar a seqüência necessária no kernel do Windows, o vírus calcula seus CRCs um a um e compara os resultados com uma tabela de valores pré-calculados que são salvos no código de vírus.
Para infectar arquivos no disco, o vírus os procura nos diretórios atuais, do Windows e do Windows. O vírus também afeta os arquivos nos diretórios, que contêm o navegador da Internet instalado e o leitor de e-mail. O vírus obtém esses nomes de diretórios do registro do sistema.
O vírus não infecta todos os arquivos encontrados, mas apenas arquivos com nomes específicos: IEXPLORE.EXE, INSTALL.EXE, NETSCAPE.EXE, NOTEPAD.EXE, SETUP.EXE, WINZIP32.EXE e outros. Para comparar nomes de arquivos, o vírus também usa o método de soma de verificação enquanto procura por funções da API.
Para retornar o controle ao programa host, o vírus cria sua cópia com um nome selecionado aleatoriamente, desinfecta e executa. O vírus então aguarda a saída do arquivo do host, de modo que o código do vírus permanece na memória até o momento em que o programa do host termina. Embora o código do vírus possa permanecer na memória por muito tempo, o vírus não é residente na memória. Ele não conecta nenhum evento do sistema e não intercepta a abertura / execução do arquivo para infectá-los.
Para enviar arquivos infectados à Internet, o vírus conecta a Internet usando funções padrão do Windows, obtém um endereço de e-mail selecionado aleatoriamente, envia uma mensagem fraudulenta para ele e anexa à mensagem o conta-gotas EXE infectado (veja o texto das mensagens abaixo). Para obter um endereço de e-mail da vítima, o vírus vai para vários grupos de notícias, lê a mensagem selecionada aleatoriamente e procura a string FROM nela. Quando esse texto de ID é encontrado, o vírus usa o endereço seguido para enviar a mensagem infectada.
O nome do arquivo infectado é selecionado entre três possíveis variantes: MSEFIXI.EXE, LSERIAL.EXE ou HOTEENS.EXE. As mensagens (incluindo cabeçalhos) também são selecionadas de três variantes:
Mensagem 1 ------------------------------------------------ -------------
email de: support@microsoft.com de: support@microsoft.com rcpt para: endereço selecionado aleatoriamente para: endereço selecionado aleatoriamente Assunto: Presente risco de segurança usando o Microsoft Internet Explorer e Outlook Express
Um novo e perigoso vírus atingiu a Internet.
DESCRIÇÃO:
Quando o cliente de email recebe um email mal-intencionado ou uma mensagem de notícias que contém um anexo com um nome de arquivo muito longo, ele pode fazer com que o email execute código arbitrário automaticamente na estação de trabalho do cliente, infectando a máquina.
A Microsoft tem conhecimento desse problema desde o início e apresenta aqui um patch para os dois produtos em que ele é explorado.
Outlook 98 no Windows � 95, Windows 98 e Microsoft Windows NT � 4.0 Outlook Express 4.0, 4.01 (incluindo 4.01 com Service Pack 1) no Windows 95, Windows 98 e Windows NT 4.0 Clientes de email do Netscape
SOLUÇÃO:
Os clientes que usam esses produtos para Windows 95, Windows 98 ou Windows NT 4.0 devem executar o patch anexado ou baixar um patch atualizado de:
http://www.microsoft.com/outlook/enhancements/outptch2.asp
Por favor, corrija o (s) seu (s) computador (es) o mais rápido possível e nos ajude a combater essa ameaça à Internet.
Obrigado pelo seu tempo.
Suporte Microsoft Mensagem 2 ------------------------------------------------ ------------- Mail de: Oi Você precisa de um número de série para um programa não registrado? Você se sente como se tivesse procurado em todos os lugares? Mesmo na mais nova versão do Phrozen Crews Oscar? Se você puder responder - sim - a algumas das perguntas acima e ainda estiver procurando por um número de série, esse pode ser o programa pelo qual você estava esperando. Nós coletamos números de série por muitos anos e agora estamos orgulhosos de lançar a primeira versão de nossa coleção de números de série, que contém mais de 15.000 números de série. Anexado a esta mensagem está a primeira versão da nossa coleção de números de série. Seu, coletores do número de série Mensagem 3 ------------------------------------------------ ------------- Mail de: Prezado cliente em potencial, Acabamos de abrir um novo site erótico com mais de 10.000 .JPGs e mais de 1.000 .MPG / .VIV / .AVI / .MOV / etc. Oferecemos a você a oportunidade de uma vida, estamos dando um acesso de meses, sem ser cobrado, para o nosso novo site em troca de sua opinião. Tudo o que você precisa fazer é executar o anúncio anexado, que gerará seu ID de usuário pessoal, você não precisa fornecer informações como o número do seu cartão de crédito pessoal, etc. E se você gosta do nosso site, por favor diga a todos os seus amigos sobre nós. http://www.hoteens.com/ HoTeens.com
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com
Saiba mais