Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv. Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Produkty:
Domů
Pro malé podniky
Pro střední podniky
Pro velké podniky
Zranitelnosti Hrozby
Úvod Hrozby Trojan-Spy Win9x

Trojan-Spy.Win9x.Harrier

Třída
Trojan-Spy
Platfoma
Win9x

Hlavní třída: TrojWare

Trojské koně jsou škodlivé programy, které provádějí akce, které nejsou uživateli povoleny: odstraňují, blokují, upravují nebo kopírují data a narušují výkon počítačů nebo počítačových sítí. Na rozdíl od virů a červů, hrozby, které spadají do této kategorie, nejsou schopné vytvářet kopie nebo se samy replikovat.

Trojice jsou klasifikována podle typu akce, kterou provádějí na infikovaném počítači.

Třída: Trojan-Spy

Programy Trojan-Spy se používají k špehování akcí uživatele (sledování dat zadaných klávesnicí, vytváření snímků na obrazovce, načtení seznamu běžících aplikací apod.) Získané informace jsou poté předávány škodlivému uživateli, který kontroluje Trojan. K přenosu dat lze použít e-mail, FTP, web (včetně dat v žádosti) a další metody.

Platfoma: Win9x

No platform description

Popis

Technické údaje

Během infikování souboru EXE virus analyzuje jeho interní formát souboru, na konci souboru vytvoří další sekci a zapíše do něj šifrovaný text. Sekce virů pokračuje v souboru "Export tabulky, který je používán virem, aby propojil svůj kód s nezbytnými funkcemi rozhraní API Windows při spuštění infikovaného souboru. Vzhledem k tomu, že virus má vlastní exportní tabulku, změní ukazatel na něj v hlavičce PE. Virus také věnuje zvláštní pozornost exportní tabulce původního hostitelského souboru. Chcete-li jej uložit, virus přesune potřebná data z něj do konce souboru a připojí jej do vlastní exportní tabulky. Výsledkem je, že systém Windows načítá infikované soubory a zpracovává tabulky Export a Export.

Chcete-li propojit jeho oddíl s tělem souboru oběti, virus upravuje potřebná pole v záhlaví PE. Virus to velmi přesně a jako výsledek ve většině případů nevyvolává chyby při načítání infikovaných souborů, někdy pod WinNT.

Virus detekuje již infikované soubory razítkem, který je uložen v datovém a časovém razítku File LastWrite. Tato hodnota ID není konstantní a závisí na ostatních polích souboru a času (viru Rol / Ror / Xor-es pět z nich k caclulate ID).

Spouštěcí rutiny

Během instalace paměti rezidentů virus volá tři spouštěcí rutiny. První z nich kontroluje systémové prostředí a v závislosti na tom, že virus změní na "režim ladění". Druhý, v závislosti na hodnotě sekund v systému, zobrazuje MessageBox:

Poslední, v závislosti na virovém náhodném čítači (který závisí na datu a čase systému), v jednom případě šestnáct, přenese soubory OEMINFO.INI a OEMLOGO.BMP do systémového adresáře systému Windows. Soubor OEMLOGO.INI obsahuje následující textové řetězce ve dvou oddílech: 

[Všeobecné]Výrobce = TechnoRatModel = Velmi velká zóna života pro Harrier
[Informace o podpoře]line1 = Dnes virus není virus,line2 = ale část operačního systému. . .line3 = (C) 95. Harrier z DarkLandline4 = ---line5 = Vytvořil se pěkný obrázek LOGOline6 = společností PolyGris a LionKing. Hlavní myšlenkaline7 = a byl vytvořen kód všech verzíline8 = podle mě - TechnoRat
Tento soubor BMP a části "Obecné" jsou zobrazeny v okně "Vlastnost systému", pokud je vybrána položka MyComputer / Properties. Virus "Informace o podpoře" se zobrazí, když stisknete odpovídající tlačítko ve stejné "Vlastnosti systému".

Virus "debug mode" se aktivuje, když systémové prostředí obsahuje specifický řetězec ("Variable = Value", je například nastaven příkazem "SET =" DOS). Tento řetězec obsahuje 19 symbolů a virus je detekován pomocí hloupé CRC smyčky. Tato CRC smyčka "komprimuje" řetězec na čtyři bajty, takže existuje několik milionů "čitelných" variant tohoto řetězce.

Je-li zapnutý režim ladění virů, zobrazí se okno zpráv:

Virus pak na každé infekci zobrazí MessageBox a informuje žádosti o povolení infikovat soubor, například:

Na "OK" virus běží rutinní infekce, na "Zrušit" virus zobrazí jeden další MessageBox a opustí:

Jak již bylo zmíněno výše, háčky USER32 a GDI32 jsou ve spouštěcím programu používány virem - virus mění zobrazené texty nebo vydává vlastní zprávy.

Když infikovaná aplikace volá funkci WinHelpA již šestnácté, virus zobrazí vlastní MessageBox namísto volání funkce Windows: 

"95. Harrier z DarkLand"Bůh pomůže! ;-)
Na libovolné zprávě MessageBoxA virus kontroluje systémový čas a v závislosti na tom nahrazuje původní text v MessageBoxu jedním ze šesti variant: 

Porucha systému!VXD kroužky jsou překříženy!Chyba zablokování režimu CPU!CPU přetaktování, nouzové zařízení pro chladiče!Pomocný subsystém je poškozen!Pozor! Chyby uvnitř počítače, použijte aplikaci SoftIce.

Při dalších zavěšených voláních virus vyhledává text pro čtyři varianty podřetězců a nahrazuje je vlastními verzemi: 

MICROSOFT -> MIcrOSOFTWINDOWS -> WINDOWSBILL Gates -> Gill BatesHARRIER -> Oh! Chlapci! Je to o mně?

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com

Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!
Kaspersky Next
Let’s go Next: redefine your business’s cybersecurity
Zjistěte více
Kaspersky Premium
Zjistěte více
Related articles
08 July 2025
Securelist
Approach to mainframe penetration testing on z/OS. Deep dive into RACF
07 July 2025
Securelist
Batavia spyware steals data from Russian organizations
25 June 2025
Securelist
AI and collaboration tools: how cyberattackers are targeting SMBs in 2025
23 June 2025
Securelist
SparkKitty, SparkCat’s little brother: A new Trojan spy found in the App Store and Google Play
11 June 2025
Securelist
Toxic trend: Another malware threat targets DeepSeek
09 June 2025
Securelist
Sleep with one eye open: how Librarian Ghouls steal data by night
Našli jste v popisu této chyby zabezpečení nepřesnost?
Pokud jste našli novou hrozbu nebo zranitelnost, dejte nám prosím vědět e-mailem:
newvirus@kaspersky.com
Našli jste novou hrozbu nebo zranitelnost?
Pokud jste našli novou hrozbu nebo zranitelnost, dejte nám prosím vědět e-mailem:
newvirus@kaspersky.com
Produkty
Domů
Pro malé podniky
Pro střední podniky
Pro velké podniky
Select language
Sorting
Hrozba
Confirm changes?
Your message has been sent successfully.