Trojan-Spy.Win9x.Harrier

Hlavní třída: TrojWare

Trojské koně jsou škodlivé programy, které provádějí akce, které nejsou uživateli povoleny: odstraňují, blokují, upravují nebo kopírují data a narušují výkon počítačů nebo počítačových sítí. Na rozdíl od virů a červů, hrozby, které spadají do této kategorie, nejsou schopné vytvářet kopie nebo se samy replikovat.

Trojice jsou klasifikována podle typu akce, kterou provádějí na infikovaném počítači.

Třída: Trojan-Spy

Programy Trojan-Spy se používají k špehování akcí uživatele (sledování dat zadaných klávesnicí, vytváření snímků na obrazovce, načtení seznamu běžících aplikací apod.) Získané informace jsou poté předávány škodlivému uživateli, který kontroluje Trojan. K přenosu dat lze použít e-mail, FTP, web (včetně dat v žádosti) a další metody.

Platfoma: Win9x

No platform description

Popis

Technické údaje

Během infikování souboru EXE virus analyzuje jeho interní formát souboru, na konci souboru vytvoří další sekci a zapíše do něj šifrovaný text. Sekce virů pokračuje v souboru "Export tabulky, který je používán virem, aby propojil svůj kód s nezbytnými funkcemi rozhraní API Windows při spuštění infikovaného souboru. Vzhledem k tomu, že virus má vlastní exportní tabulku, změní ukazatel na něj v hlavičce PE. Virus také věnuje zvláštní pozornost exportní tabulce původního hostitelského souboru. Chcete-li jej uložit, virus přesune potřebná data z něj do konce souboru a připojí jej do vlastní exportní tabulky. Výsledkem je, že systém Windows načítá infikované soubory a zpracovává tabulky Export a Export.

Chcete-li propojit jeho oddíl s tělem souboru oběti, virus upravuje potřebná pole v záhlaví PE. Virus to velmi přesně a jako výsledek ve většině případů nevyvolává chyby při načítání infikovaných souborů, někdy pod WinNT.

Virus detekuje již infikované soubory razítkem, který je uložen v datovém a časovém razítku File LastWrite. Tato hodnota ID není konstantní a závisí na ostatních polích souboru a času (viru Rol / Ror / Xor-es pět z nich k caclulate ID).

Spouštěcí rutiny

Během instalace paměti rezidentů virus volá tři spouštěcí rutiny. První z nich kontroluje systémové prostředí a v závislosti na tom, že virus změní na "režim ladění". Druhý, v závislosti na hodnotě sekund v systému, zobrazuje MessageBox:

Poslední, v závislosti na virovém náhodném čítači (který závisí na datu a čase systému), v jednom případě šestnáct, přenese soubory OEMINFO.INI a OEMLOGO.BMP do systémového adresáře systému Windows. Soubor OEMLOGO.INI obsahuje následující textové řetězce ve dvou oddílech:

[Všeobecné]Výrobce = TechnoRatModel = Velmi velká zóna života pro Harrier

[Informace o podpoře]line1 = Dnes virus není virus,line2 = ale část operačního systému. . .line3 = (C) 95. Harrier z DarkLandline4 = ---line5 = Vytvořil se pěkný obrázek LOGOline6 = společností PolyGris a LionKing. Hlavní myšlenkaline7 = a byl vytvořen kód všech verzíline8 = podle mě - TechnoRat

Tento soubor BMP a části "Obecné" jsou zobrazeny v okně "Vlastnost systému", pokud je vybrána položka MyComputer / Properties. Virus "Informace o podpoře" se zobrazí, když stisknete odpovídající tlačítko ve stejné "Vlastnosti systému".

Virus "debug mode" se aktivuje, když systémové prostředí obsahuje specifický řetězec ("Variable = Value", je například nastaven příkazem "SET =" DOS). Tento řetězec obsahuje 19 symbolů a virus je detekován pomocí hloupé CRC smyčky. Tato CRC smyčka "komprimuje" řetězec na čtyři bajty, takže existuje několik milionů "čitelných" variant tohoto řetězce.

Je-li zapnutý režim ladění virů, zobrazí se okno zpráv:

Virus pak na každé infekci zobrazí MessageBox a informuje žádosti o povolení infikovat soubor, například:

Na "OK" virus běží rutinní infekce, na "Zrušit" virus zobrazí jeden další MessageBox a opustí:

Jak již bylo zmíněno výše, háčky USER32 a GDI32 jsou ve spouštěcím programu používány virem - virus mění zobrazené texty nebo vydává vlastní zprávy.

Když infikovaná aplikace volá funkci WinHelpA již šestnácté, virus zobrazí vlastní MessageBox namísto volání funkce Windows:

"95. Harrier z DarkLand"Bůh pomůže! ;-)

Na libovolné zprávě MessageBoxA virus kontroluje systémový čas a v závislosti na tom nahrazuje původní text v MessageBoxu jedním ze šesti variant:

Porucha systému!VXD kroužky jsou překříženy!Chyba zablokování režimu CPU!CPU přetaktování, nouzové zařízení pro chladiče!Pomocný subsystém je poškozen!Pozor! Chyby uvnitř počítače, použijte aplikaci SoftIce.

Při dalších zavěšených voláních virus vyhledává text pro čtyři varianty podřetězců a nahrazuje je vlastními verzemi:

MICROSOFT -> MIcrOSOFTWINDOWS -> WINDOWSBILL Gates -> Gill BatesHARRIER -> Oh! Chlapci! Je to o mně?

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com