Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Virus
Viry se replikují na prostředcích místního počítače.Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:
když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.
Platfoma: MSWord
Microsoft Word (MS Word) je populární textový editor a součást Microsoft Office. Soubory aplikace Microsoft Word mají příponu .doc nebo .docx.Popis
Technické údaje
Tento makrový virus je dalším klonem "Melissa" . Infikuje dokument a šablony MS Word a odesílá své kopie do e-mailových zpráv pomocí aplikace MS Outlook. Virus je extrémně rychlý infektor: jeho rutina šíření e-mailů může posílat mnoho infikovaných dokumentů na různé e-mailové adresy, když se virus vloží do systému. Virus má také spouštěcí rutinu, mění systémový registr a zakáže ochranu maker před viry.
Chcete-li odeslat své kopie v e-mailových zprávách, virus používá schopnosti VisualBasic k aktivaci jiných aplikací společnosti Microsoft a jejich rutiny: virus získá přístup k MS Outlooku a volá jeho funkce. Virus získává adresy z databáze Outlook a pošle jim novou zprávu. Tato masáž má:
Předmět: "Fun a hry od [UserName]" (UserName je proměnná)
Text zprávy: "Ahoj! Podívejte se na tento čistý dok, který jsem našel na internetu!"
Zpráva má také přiložený dokument (netřeba říkat, že je infikován) - virus připisuje dokument, který je nyní upraven (aktivní dokument). Jako vedlejší účinek tohoto způsobu šíření mohou být dokumenty uživatele (včetně důvěrných) zaslány na internet.
Virus může odesílat mnoho zpráv: skenuje Outlook AddressBook (databáze adres), otevře každý seznam v něm a odešle až 69 zpráv na adresy z každého. Pokud má seznam méně než 69 záznamů (e-mailové adresy), všechny jsou infikovány. Virus pošle jednu zprávu do každého seznamu a pole TO: ve zprávě obsahuje všechny adresy z tohoto seznamu (až 69) a může být odmítnuto pomocí antispamových filtrů. Navíc vysílá další zprávu na adresu "Project1@nym.alias.net" Tato masáž má:
Předmět: "Hádej, kdo je infikován: [UserName]" (UserName je proměnná)
Tělo zprávy: "infikováno!"
Tato zpráva má také připojený dokument, který se právě upravuje.
Virus odesílá infikované e-maily pouze jednou. Před odesláním virus kontroluje systémový registr pro ID razítko:
HKEY_CURRENT_USERSoftwareMicrosoftOfficeP1 = "Syndikovat"
Pokud tato položka neexistuje, virus odešle e-maily z infikovaného počítače a poté tuto položku vytvoří v registru. V opačném případě virus přeskočí po rutině e-mailu. V důsledku toho virus odešle infikované e-mailové zprávy pouze jednou: při dalším pokusu najde položku "P1 =" a přeskočí.
Virus se může šířit do dokumentů Office2000 (Word verze 9). Tato možnost je založena na funkci "konverze" Office. Při otevření nové verze sady Office a načtení dokumentů a šablon vytvořených předchozími verzemi aplikace Word převede data do dokumentů do nových formátů. Makroprogram v souborech je také převeden, včetně maker virů. V důsledku toho se virus může replikovat sám pod Office2000.
Kód viru obsahuje v modulu "Document_Close" jeden modul s jednou automatickou funkcí. Virus infikuje oblast globálních maker při zavření infikovaných dokumentů a po jejich zavření se rozšíří o další dokumenty. Chcete-li infikovat dokumenty a šablony, virus zkopíruje svůj kód z infikovaného objektu do oběti.
Virus má komentáře:
W97M / Project1 od pacienta nula - (The Syndicate) - circa 1999Syndikát: podzemní do podzemí.Pozdravuje Kwyjibo a CodeBreakers: Hej, nepoznáváme se? ;-)
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com