ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Win9x.Yobe

Classe Virus
Plataforma Win9x
Descrição

Detalhes técnicos

Este é um vírus parasita perigoso do Windows. Ele usa chamadas de sistema que são válidas somente no Win95 / 98 e não podem se espalhar no NT. O vírus também tem erros e muitas vezes pára o sistema quando executado. Apesar disso, o vírus tem uma maneira muito incomum de se espalhar, e é interessante o suficiente do ponto de vista técnico.

O vírus pode ser encontrado apenas em dois arquivos: "Setup.exe" em disquetes e "Setup.exe" na raiz da unidade C: (há um espaço entre o nome do arquivo ea extensão ".exe").

Em disquetes, o vírus usa um truque para ocultar sua cópia. Ele grava seu código completo nos últimos setores do disco e modifica o arquivo SETUP.EXE para ler e executar este código.

O arquivo SETUP.EXE infectado parece apenas como um programa DOS EXE de 512 bytes, mas não é. Ao infectar este arquivo, o vírus usa um método de vírus DirII : por diretórios de discos, chamadas de leitura / gravação, o vírus obtém acesso aos setores de diretório de disco, modifica o campo "primeiro cluster de arquivos" e faz as alterações necessárias nas tabelas FAT de disco. Como resultado, o código original SETUP.EXE não é modificado, mas o diretório entra aponta para o código de vírus em vez dos clusters de arquivo original.

Quando o SETUP.EXE infectado é executado a partir do disquete infectado, esse componente DOS do vírus assume o controle, lê o corpo do vírus completo dos últimos setores no disquete, cria o arquivo "C: SETUP .EXE", grava esses dados (código de vírus completo) para lá e executa. A rotina de instalação de vírus assume o controle, instala o vírus no sistema e desinfeta o arquivo SETUP.EXE na unidade de disquete.

Ao instalar-se no sistema, o vírus cria uma nova chave no registro do sistema para se ativar em cada reinicialização do Windows:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
  YOBE = "" C: CONFIGURAÇÃO .EXE "YOBE"

O vírus então passa para o nível do kernel do Windows (Ring0), aloca um bloco de memória do sistema, copia a si mesmo para lá e conecta as funções do Windows ao arquivo de disco (API do IFS). Esse gancho intercepta as chamadas de abertura de arquivo e, ao abrir o arquivo SETUP.EXE na unidade A:, o vírus o infecta.

O vírus tem rotinas adicionais. Primeiro, um deles procura as janelas "AVP Monitor" e "Amon Antivirus Monitor" e as fecha; o segundo, dependendo do contador aleatório, exibe uma linha com as palavras "YOBE" no lado esquerdo da tela.


Link para o original