Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Virus
Viry se replikují na prostředcích místního počítače.Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:
když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.
Platfoma: MSOffice
Microsoft Office je multiplatformní sada aplikací pro produktivitu publikovaných společností Microsoft. Aplikace sady Office jsou kompatibilní s mnoha typy souborů a obsahu.Popis
Technické údaje
Tento makrovir infikuje dokumenty Office97 Word a listy aplikace Excel. To bylo pojmenováno podle jeho interní umístění: "teonanacatl". Je to druhý známý makrovírus (po "Access / Word97.Cross"), který je schopen infikovat několik aplikací MS Office.
Kód viru je umístěn do jednoho modulu s názvem StrangeDays a obsahuje osm funkcí:
AutoClose - automatická funkce aplikace Word, obsahuje rutinní infekciAutoOpen - automatická funkce aplikace Word, zakáže editor jazyka VisualBasic (stealth)AutoExit - Autofunkce aplikace Word, volá funkci Automatické zavření, aby infikoval dokumentToolsMacro - vypne zobrazení maker (stealth)ToolsOptions - zakazuje prohlížení maker (stealth)FileTemplates - zakazuje prohlížení maker (stealth)ViewVBCode - deaktivuje zobrazení maker (stealth)Auto_Open - automatická funkce aplikace Excel, rutina aktivující háčky
Virus rozšiřuje svůj kód pod "nativní" aplikaci (Word-> Word, Excel-> Excel) a také infikované soubory na jiné aplikace (Word-> Excel a Excel-> Word). V obou infikovaných dokumentech aplikace Word a v listech aplikace Excel má virus stejný základní kód. Je napsán tak přesným způsobem, který může být proveden bez chyb v aplikaci Word 97 a Word i Excel.
Chcete-li infikovat "nativní" objekty (dokumenty nebo listy), virus používá funkce VisualBasic Import / Export: virus exportuje svůj základní kód do souboru C: LO.SYS a poté jej importuje do neinfikovaných dokumentů (v aplikaci Word) a (Excel). V případě aplikace Word infikovat jiné dokumenty, virus zachycuje automatické funkce AutoClose a AutoExit a infikuje dokumenty, které jsou zavřené nebo po ukončení aplikace Word. V případě aplikace Excel virus zavěsí rutinu aktivace listů, automatická funkce Auto_Open to provede při otevření infikovaného listu.
Chcete-li infikovat jinou aplikaci, virus používá trik s možností automatického načítání aplikací Word a Excel k načtení šablon (Word) a listů (Excel) ze spouštěcího adresáře. Chcete-li infikovat aplikaci Word z aplikace Excel, vytvoří virus v novém adresáři soubory NORMAL.DOT (Word) a PERSONAL.XLS (Excel).
Oba tyto NORMAL.DOT a PERSONAL.XLS obsahují pouze malou 17-řádkovou rutinu, která není samotným virem, ale je to virus loader. Tento načíst má auto-název (Auto_Close v aplikaci Excel a AutoExec v aplikaci Word) a je spuštěn systémem při spuštění aplikace Word s infikovaným programem NORMAL.DOT nebo aplikace Excel se zavřenou infikovanou osobou PERSONAL.XLS. V obou případech čteč (importuje) úplný kód viru ze souboru C: LO.SYS do aktuálního objektu (šablona NORMAL nebo PERSONAL.XLS) a v důsledku toho infikuje. Nakladač pak uloží infikovaný výsledek do původního souboru (NORMAL.DOT nebo PERSONAL.XLS) a ukončí. Při dalším načítání aplikace Word a Excel načte své soubory NORMAL.DOT a PERSONAL.XLS s celým kódem viru a v důsledku toho bude virus dále šířit.
Virus má zabudované a proti varování schopnosti: vypíná položky nabídky Tools / Macro, Tools / Options, File / Templates a View / VBCode, stejně jako vypíná VisualBasicEditor a VirusProtection. V systému registru se také mění pokyny VirusProtection.
26. dne kteréhokoli měsíce zobrazí zprávu MessageBox a odstraní všechny soubory v aktuálním adresáři a text v MessageBoxu je následující:
Strange Days by Reptile / 29AZačaly nám divné dnyZvláštní dny nás sledujíBudou zničit ...
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com