Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.
Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Třída | Trojan-Spy |
Platfoma | Win9x |
Popis |
Technické údajeBěhem infikování souboru EXE virus analyzuje jeho interní formát souboru, na konci souboru vytvoří další sekci a zapíše do něj šifrovaný text. Sekce virů pokračuje v souboru "Export tabulky, který je používán virem, aby propojil svůj kód s nezbytnými funkcemi rozhraní API Windows při spuštění infikovaného souboru. Vzhledem k tomu, že virus má vlastní exportní tabulku, změní ukazatel na něj v hlavičce PE. Virus také věnuje zvláštní pozornost exportní tabulce původního hostitelského souboru. Chcete-li jej uložit, virus přesune potřebná data z něj do konce souboru a připojí jej do vlastní exportní tabulky. Výsledkem je, že systém Windows načítá infikované soubory a zpracovává tabulky Export a Export. Chcete-li propojit jeho oddíl s tělem souboru oběti, virus upravuje potřebná pole v záhlaví PE. Virus to velmi přesně a jako výsledek ve většině případů nevyvolává chyby při načítání infikovaných souborů, někdy pod WinNT. Virus detekuje již infikované soubory razítkem, který je uložen v datovém a časovém razítku File LastWrite. Tato hodnota ID není konstantní a závisí na ostatních polích souboru a času (viru Rol / Ror / Xor-es pět z nich k caclulate ID). Spouštěcí rutinyBěhem instalace paměti rezidentů virus volá tři spouštěcí rutiny. První z nich kontroluje systémové prostředí a v závislosti na tom, že virus změní na "režim ladění". Druhý, v závislosti na hodnotě sekund v systému, zobrazuje MessageBox: ![]() ![]()
Tento soubor BMP a části "Obecné" jsou zobrazeny v okně "Vlastnost systému", pokud je vybrána položka MyComputer / Properties. Virus "Informace o podpoře" se zobrazí, když stisknete odpovídající tlačítko ve stejné "Vlastnosti systému". ![]() Virus "debug mode" se aktivuje, když systémové prostředí obsahuje specifický řetězec ("Variable = Value", je například nastaven příkazem "SET =" DOS). Tento řetězec obsahuje 19 symbolů a virus je detekován pomocí hloupé CRC smyčky. Tato CRC smyčka "komprimuje" řetězec na čtyři bajty, takže existuje několik milionů "čitelných" variant tohoto řetězce. Je-li zapnutý režim ladění virů, zobrazí se okno zpráv: ![]() Virus pak na každé infekci zobrazí MessageBox a informuje žádosti o povolení infikovat soubor, například: ![]() Na "OK" virus běží rutinní infekce, na "Zrušit" virus zobrazí jeden další MessageBox a opustí: ![]() Jak již bylo zmíněno výše, háčky USER32 a GDI32 jsou ve spouštěcím programu používány virem – virus mění zobrazené texty nebo vydává vlastní zprávy. Když infikovaná aplikace volá funkci WinHelpA již šestnácté, virus zobrazí vlastní MessageBox namísto volání funkce Windows: Na libovolné zprávě MessageBoxA virus kontroluje systémový čas a v závislosti na tom nahrazuje původní text v MessageBoxu jedním ze šesti variant:
Při dalších zavěšených voláních virus vyhledává text pro čtyři varianty podřetězců a nahrazuje je vlastními verzemi:
|
Odkaz na originál |
|