Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Trojan-Spy.Win9x.Harrier

Třída Trojan-Spy
Platfoma Win9x
Popis

Technické údaje

Během infikování souboru EXE virus analyzuje jeho interní formát souboru, na konci souboru vytvoří další sekci a zapíše do něj šifrovaný text. Sekce virů pokračuje v souboru "Export tabulky, který je používán virem, aby propojil svůj kód s nezbytnými funkcemi rozhraní API Windows při spuštění infikovaného souboru. Vzhledem k tomu, že virus má vlastní exportní tabulku, změní ukazatel na něj v hlavičce PE. Virus také věnuje zvláštní pozornost exportní tabulce původního hostitelského souboru. Chcete-li jej uložit, virus přesune potřebná data z něj do konce souboru a připojí jej do vlastní exportní tabulky. Výsledkem je, že systém Windows načítá infikované soubory a zpracovává tabulky Export a Export.

Chcete-li propojit jeho oddíl s tělem souboru oběti, virus upravuje potřebná pole v záhlaví PE. Virus to velmi přesně a jako výsledek ve většině případů nevyvolává chyby při načítání infikovaných souborů, někdy pod WinNT.

Virus detekuje již infikované soubory razítkem, který je uložen v datovém a časovém razítku File LastWrite. Tato hodnota ID není konstantní a závisí na ostatních polích souboru a času (viru Rol / Ror / Xor-es pět z nich k caclulate ID).

Spouštěcí rutiny

Během instalace paměti rezidentů virus volá tři spouštěcí rutiny. První z nich kontroluje systémové prostředí a v závislosti na tom, že virus změní na "režim ladění". Druhý, v závislosti na hodnotě sekund v systému, zobrazuje MessageBox:

Poslední, v závislosti na virovém náhodném čítači (který závisí na datu a čase systému), v jednom případě šestnáct, přenese soubory OEMINFO.INI a OEMLOGO.BMP do systémového adresáře systému Windows. Soubor OEMLOGO.INI obsahuje následující textové řetězce ve dvou oddílech:


[Všeobecné]
Výrobce = TechnoRat
Model = Velmi velká zóna života pro Harrier

[Informace o podpoře]
line1 = Dnes virus není virus,
line2 = ale část operačního systému. . .
line3 = (C) 95. Harrier z DarkLand
line4 = —
line5 = Vytvořil se pěkný obrázek LOGO
line6 = společností PolyGris a LionKing. Hlavní myšlenka
line7 = a byl vytvořen kód všech verzí
line8 = podle mě – TechnoRat
Tento soubor BMP a části "Obecné" jsou zobrazeny v okně "Vlastnost systému", pokud je vybrána položka MyComputer / Properties. Virus "Informace o podpoře" se zobrazí, když stisknete odpovídající tlačítko ve stejné "Vlastnosti systému".

Virus "debug mode" se aktivuje, když systémové prostředí obsahuje specifický řetězec ("Variable = Value", je například nastaven příkazem "SET =" DOS). Tento řetězec obsahuje 19 symbolů a virus je detekován pomocí hloupé CRC smyčky. Tato CRC smyčka "komprimuje" řetězec na čtyři bajty, takže existuje několik milionů "čitelných" variant tohoto řetězce.

Je-li zapnutý režim ladění virů, zobrazí se okno zpráv:

Virus pak na každé infekci zobrazí MessageBox a informuje žádosti o povolení infikovat soubor, například:

Na "OK" virus běží rutinní infekce, na "Zrušit" virus zobrazí jeden další MessageBox a opustí:

Jak již bylo zmíněno výše, háčky USER32 a GDI32 jsou ve spouštěcím programu používány virem – virus mění zobrazené texty nebo vydává vlastní zprávy.

Když infikovaná aplikace volá funkci WinHelpA již šestnácté, virus zobrazí vlastní MessageBox namísto volání funkce Windows:


"95. Harrier z DarkLand"
Bůh pomůže! 😉
Na libovolné zprávě MessageBoxA virus kontroluje systémový čas a v závislosti na tom nahrazuje původní text v MessageBoxu jedním ze šesti variant:


Porucha systému!
VXD kroužky jsou překříženy!
Chyba zablokování režimu CPU!
CPU přetaktování, nouzové zařízení pro chladiče!
Pomocný subsystém je poškozen!
Pozor! Chyby uvnitř počítače, použijte aplikaci SoftIce.

Při dalších zavěšených voláních virus vyhledává text pro čtyři varianty podřetězců a nahrazuje je vlastními verzemi:


MICROSOFT -> MIcrOSOFT
WINDOWS -> WINDOWS
BILL Gates -> Gill Bates
HARRIER -> Oh! Chlapci! Je to o mně?


Odkaz na originál