Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Během infikování souboru EXE virus analyzuje jeho interní formát souboru, na konci souboru vytvoří další sekci a zapíše do něj šifrovaný text. Sekce virů pokračuje v souboru "Export tabulky, který je používán virem, aby propojil svůj kód s nezbytnými funkcemi rozhraní API Windows při spuštění infikovaného souboru. Vzhledem k tomu, že virus má vlastní exportní tabulku, změní ukazatel na něj v hlavičce PE. Virus také věnuje zvláštní pozornost exportní tabulce původního hostitelského souboru. Chcete-li jej uložit, virus přesune potřebná data z něj do konce souboru a připojí jej do vlastní exportní tabulky. Výsledkem je, že systém Windows načítá infikované soubory a zpracovává tabulky Export a Export.

Chcete-li propojit jeho oddíl s tělem souboru oběti, virus upravuje potřebná pole v záhlaví PE. Virus to velmi přesně a jako výsledek ve většině případů nevyvolává chyby při načítání infikovaných souborů, někdy pod WinNT.

Virus detekuje již infikované soubory razítkem, který je uložen v datovém a časovém razítku File LastWrite. Tato hodnota ID není konstantní a závisí na ostatních polích souboru a času (viru Rol / Ror / Xor-es pět z nich k caclulate ID).

Spouštěcí rutiny

Během instalace paměti rezidentů virus volá tři spouštěcí rutiny. První z nich kontroluje systémové prostředí a v závislosti na tom, že virus změní na "režim ladění". Druhý, v závislosti na hodnotě sekund v systému, zobrazuje MessageBox:

Poslední, v závislosti na virovém náhodném čítači (který závisí na datu a čase systému), v jednom případě šestnáct, přenese soubory OEMINFO.INI a OEMLOGO.BMP do systémového adresáře systému Windows. Soubor OEMLOGO.INI obsahuje následující textové řetězce ve dvou oddílech:



[Všeobecné]

Výrobce = TechnoRat

Model = Velmi velká zóna života pro Harrier



[Informace o podpoře]

line1 = Dnes virus není virus,

line2 = ale část operačního systému. . .

line3 = (C) 95. Harrier z DarkLand

line4 = —

line5 = Vytvořil se pěkný obrázek LOGO

line6 = společností PolyGris a LionKing. Hlavní myšlenka

line7 = a byl vytvořen kód všech verzí

line8 = podle mě – TechnoRat

Tento soubor BMP a části "Obecné" jsou zobrazeny v okně "Vlastnost systému", pokud je vybrána položka MyComputer / Properties. Virus "Informace o podpoře" se zobrazí, když stisknete odpovídající tlačítko ve stejné "Vlastnosti systému".

Virus "debug mode" se aktivuje, když systémové prostředí obsahuje specifický řetězec ("Variable = Value", je například nastaven příkazem "SET =" DOS). Tento řetězec obsahuje 19 symbolů a virus je detekován pomocí hloupé CRC smyčky. Tato CRC smyčka "komprimuje" řetězec na čtyři bajty, takže existuje několik milionů "čitelných" variant tohoto řetězce.

Je-li zapnutý režim ladění virů, zobrazí se okno zpráv:

Virus pak na každé infekci zobrazí MessageBox a informuje žádosti o povolení infikovat soubor, například:

Na "OK" virus běží rutinní infekce, na "Zrušit" virus zobrazí jeden další MessageBox a opustí:

Jak již bylo zmíněno výše, háčky USER32 a GDI32 jsou ve spouštěcím programu používány virem – virus mění zobrazené texty nebo vydává vlastní zprávy.

Když infikovaná aplikace volá funkci WinHelpA již šestnácté, virus zobrazí vlastní MessageBox namísto volání funkce Windows:



"95. Harrier z DarkLand"

Bůh pomůže! 😉

Na libovolné zprávě MessageBoxA virus kontroluje systémový čas a v závislosti na tom nahrazuje původní text v MessageBoxu jedním ze šesti variant:



Porucha systému!

VXD kroužky jsou překříženy!

Chyba zablokování režimu CPU!

CPU přetaktování, nouzové zařízení pro chladiče!

Pomocný subsystém je poškozen!

Pozor! Chyby uvnitř počítače, použijte aplikaci SoftIce.

Při dalších zavěšených voláních virus vyhledává text pro čtyři varianty podřetězců a nahrazuje je vlastními verzemi:



MICROSOFT -> MIcrOSOFT

WINDOWS -> WINDOWS

BILL Gates -> Gill Bates

HARRIER -> Oh! Chlapci! Je to o mně?

Odkaz na originál

Třída	Trojan-Spy
Platfoma	Win9x
Popis	Technické údaje Během infikování souboru EXE virus analyzuje jeho interní formát souboru, na konci souboru vytvoří další sekci a zapíše do něj šifrovaný text. Sekce virů pokračuje v souboru "Export tabulky, který je používán virem, aby propojil svůj kód s nezbytnými funkcemi rozhraní API Windows při spuštění infikovaného souboru. Vzhledem k tomu, že virus má vlastní exportní tabulku, změní ukazatel na něj v hlavičce PE. Virus také věnuje zvláštní pozornost exportní tabulce původního hostitelského souboru. Chcete-li jej uložit, virus přesune potřebná data z něj do konce souboru a připojí jej do vlastní exportní tabulky. Výsledkem je, že systém Windows načítá infikované soubory a zpracovává tabulky Export a Export. Chcete-li propojit jeho oddíl s tělem souboru oběti, virus upravuje potřebná pole v záhlaví PE. Virus to velmi přesně a jako výsledek ve většině případů nevyvolává chyby při načítání infikovaných souborů, někdy pod WinNT. Virus detekuje již infikované soubory razítkem, který je uložen v datovém a časovém razítku File LastWrite. Tato hodnota ID není konstantní a závisí na ostatních polích souboru a času (viru Rol / Ror / Xor-es pět z nich k caclulate ID). Spouštěcí rutiny Během instalace paměti rezidentů virus volá tři spouštěcí rutiny. První z nich kontroluje systémové prostředí a v závislosti na tom, že virus změní na "režim ladění". Druhý, v závislosti na hodnotě sekund v systému, zobrazuje MessageBox: Poslední, v závislosti na virovém náhodném čítači (který závisí na datu a čase systému), v jednom případě šestnáct, přenese soubory OEMINFO.INI a OEMLOGO.BMP do systémového adresáře systému Windows. Soubor OEMLOGO.INI obsahuje následující textové řetězce ve dvou oddílech: [Všeobecné] Výrobce = TechnoRat Model = Velmi velká zóna života pro Harrier [Informace o podpoře] line1 = Dnes virus není virus, line2 = ale část operačního systému. . . line3 = (C) 95. Harrier z DarkLand line4 = — line5 = Vytvořil se pěkný obrázek LOGO line6 = společností PolyGris a LionKing. Hlavní myšlenka line7 = a byl vytvořen kód všech verzí line8 = podle mě – TechnoRat Tento soubor BMP a části "Obecné" jsou zobrazeny v okně "Vlastnost systému", pokud je vybrána položka MyComputer / Properties. Virus "Informace o podpoře" se zobrazí, když stisknete odpovídající tlačítko ve stejné "Vlastnosti systému". Virus "debug mode" se aktivuje, když systémové prostředí obsahuje specifický řetězec ("Variable = Value", je například nastaven příkazem "SET =" DOS). Tento řetězec obsahuje 19 symbolů a virus je detekován pomocí hloupé CRC smyčky. Tato CRC smyčka "komprimuje" řetězec na čtyři bajty, takže existuje několik milionů "čitelných" variant tohoto řetězce. Je-li zapnutý režim ladění virů, zobrazí se okno zpráv: Virus pak na každé infekci zobrazí MessageBox a informuje žádosti o povolení infikovat soubor, například: Na "OK" virus běží rutinní infekce, na "Zrušit" virus zobrazí jeden další MessageBox a opustí: Jak již bylo zmíněno výše, háčky USER32 a GDI32 jsou ve spouštěcím programu používány virem – virus mění zobrazené texty nebo vydává vlastní zprávy. Když infikovaná aplikace volá funkci WinHelpA již šestnácté, virus zobrazí vlastní MessageBox namísto volání funkce Windows: "95. Harrier z DarkLand" Bůh pomůže! 😉 Na libovolné zprávě MessageBoxA virus kontroluje systémový čas a v závislosti na tom nahrazuje původní text v MessageBoxu jedním ze šesti variant: Porucha systému! VXD kroužky jsou překříženy! Chyba zablokování režimu CPU! CPU přetaktování, nouzové zařízení pro chladiče! Pomocný subsystém je poškozen! Pozor! Chyby uvnitř počítače, použijte aplikaci SoftIce. Při dalších zavěšených voláních virus vyhledává text pro čtyři varianty podřetězců a nahrazuje je vlastními verzemi: MICROSOFT -> MIcrOSOFT WINDOWS -> WINDOWS BILL Gates -> Gill Bates HARRIER -> Oh! Chlapci! Je to o mně?
	Odkaz na originál

Trojan-Spy.Win9x.Harrier

Technické údaje

Spouštěcí rutiny