Searching
..

Click anywhere to stop

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Virus.DOS.ArjVirus

Třída Virus
Platfoma DOS
Popis

Technické údaje

Je to nebezpečný rezidentní virus. Vyhledává archivní soubory a infikuje je. Naštěstí vyhledává pouze formát archivátorů. Archivní soubory infekce by měly být pouze v normě ARJ. Tyto archivní soubory jsou výsledkem práce kompresoru ARJ.EXE.

ARJ.EXE je archivační program, který umožňuje komprimovat a ukládat jeden nebo více souborů (včetně podadresářů) do jednoho nebo několika archivů (v slang – arjive) v komprimovaném formátu. Tento software je chráněn autorskými právy (c) 1990-1993 Robert K Jung.

Tento virus, který je červa víc než standardní virus DOS, je 5000 bajtů délky. Aktualizuje tyto soubory pomocí kopie (viru). Při provádění tohoto infektoru vyhledává soubory s příponou ARJ pomocí masky "* .arj" (soubory s příponou ARJ jsou vytvořeny nástrojem ARJ.EXE a obsahují komprimované soubory). Hledá soubory ARJ v aktuálních a všech nadřízených adresářích.

Pokud je nalezen archivní soubor ARJ, virus vytvoří dočasný soubor s náhodným vybraným názvem a rozšířením COM. Tento název se skládá ze čtyř písmen z 'A' t0 'V'; omezení "V" je proto, že tento virus používá limit 0Fh pro číslo dopisu, 15. písmeno (0Fh) je "V". Názvy výsledků vypadají jako BHPL.COM, NLJJ.COM, OKPD.COM atd. Poté virus vloží do tohoto souboru COM (5000 bajtů) a pro jeho skrytí připojuje k souboru odpadky bajtů náhodné vybrané délky. Virus kontroluje, zda délka tohoto odpadu by neměla překročit maximální délku spustitelného souboru COM. Délka výsledných souborů červa je více než 5000 bajtů. 5000 bajtů je délka červa červa, která je uložena v souboru na jakoukoli infekci.

Poté virus vloží tento soubor do archivu, který byl nalezen. To dělá nejjednodušším způsobem – virus vynutit nástroj ARJ.EXE, aby to udělal. Jeden z přepínačů ARJ.EXE je znak "a", který nutí přidat soubory v archivu ARJ. A virus používá tuto možnost, provádí ARJ.EXE znakem "a" pomocí standardní funkce C. Realizovaný řetězec vypadá takto:

c: command.com / c arj a  .com
kde je název s rozšířením ARJ archivu, který byl nalezen, jsou čtyři bajty délky náhodně vybraného jména popsaného výše. Přepínač "/ c" způsobí, že program COMMAND.COM provede spuštěný program (ARJ.EXE) a okamžitě ukončí.

Při provádění tohoto příkazu archivátor ARJ.EXE komprimuje a přidá červ do archivovaného souboru, který byl nalezen. Poté virus odstraní dočasný soubor a vyhledá další soubor ARJ. Pokud v aktuálním adresáři nejsou žádné soubory archivu, virus přeskočí na nadřazenou. Pokud je aktuální adresář kořenový adresář disku, virus se vrací do DOSu.

Jednou z funkcí tohoto infektoru je duplicitní infekce. Při provedení archivu virus nekontroluje soubor o jeho přítomnosti a jak to může udělat? Kontrola archivu uvnitř není snadný úkol a vidím, že autor tohoto viru jej nenastavil (duplicitní infekci) jako objekt. Tento nový nápad si uvědomil nejjednodušším způsobem, ne více.

Virus generuje náhodné názvy souborů červů. Někdy může generovat název, který je přítomen v souboru ARJ, který je určen k infekci. Výsledkem je, že tento soubor bude přepsán virem a obsah tohoto souboru se ztratí. Samozřejmě pravděpodobnost spuštění souboru červů roste v tomto případě.

Pro skrytí šíření virových háčků INT 10h – přerušení videa. Nastaví to na příkaz IRET, který vypne standardní výstup na obrazovku. Tato funkce skrývá virus, ale pokud se vyskytnou chyby virové aktivity, zobrazí se v programu ARJ.EXE nebo DOS chybová zpráva (například "Chyba při zápisu chyby zápisu jednotky A:") a počkejte na odpověď. Virus však vypne výstup a uživatel uvidí pouze prázdnou obrazovku. Vypadá to, že počítač zavěsí. Mimochodem, virtuální stroj DOS pod operačním systémem MS-Windows přepíná režim plného textového textu na chybu při zápisu a není možné přepnout na jinou úlohu. Poslední poznámka: tento virus obsahuje krátký interní textový řetězec:

* .arj .. 0000.com / c arj ac: command.com


Odkaz na originál
Zjistěte statistiky hrozeb šířících se ve vašem regionu