Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Virus
Viry se replikují na prostředcích místního počítače.Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:
když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.
Platfoma: Multi
No platform descriptionPopis
Technické údaje
Jedná se o parazitní soubory Windows PE a MS Word normální šablony infektor s možností šíření e-mailu, asi 22 kilobajtů délky. Virus má tři instance: v systémech Windows PE EXE, v šabloně NORMAL a jako připojený soubor v e-mailových zprávách.
Virusový kód v infikovaných souborech PE EXE je jeho hlavní instancí. Když je spuštěn, virus vyhledá soubory PE EXE v aktuálních adresářích a adresářích Windows a infikuje je. Virus také infikuje NORMAL.DOT do adresáře MS Word ze své instance EX EXE, stejně jako odesílá infikované e-maily. Instance viru v šabloně NORMAL na každém uzavření dokumentu klesne a spustí infikovaný soubor PEE EXE a nemůže infikovat jiné dokumenty a šablony. Kód viru v e-mailu se zobrazí jako připojený soubor, který je infikován spustitelným systémem Windows EX EXE s náhodným názvem nebo infikovanou šablonou NORMAL.
Virus je rezidentní paměť. To znamená, že kopie virů může zůstat v paměti delší dobu, dokud nedojde k ukončení infikované aplikace. V případě, že jsou infikovány pouze aplikace s krátkou životností, virusový kód se v systémové paměti dlouho neobjevuje. V případě, že je infikována aplikace s trvalým používáním, je virus aktivní po dlouhou dobu, zavírá funkce systému Windows, infikuje soubory PE EXE, které přistupují a odesílají e-mailové zprávy.
Virus je polymorfní v PE souborech stejně jako v šabloně Word NORMAL. Virus má ve svém kódu EXE dva polymorfní motory: první z nich generuje polymorfní dešifrovací smyčku v infikovaných souborech PE EXE, druhá z nich také makrografický program viru v infikovaném polymorfním NORMAL.DOT.
Virus má rutinu užitečného zatížení, která je spuštěna při spuštění infikovaného souboru ve čtyřech měsících, kdy byla infikována. Tato rutina zobrazuje zprávy se záhlaví "W32 / Wm.Cocaine" a text, který je náhodně vybrán ze sedmi variant:
Váš život hoří rychleji, poslouchejte svého pána ...Chopte snídani na zrcadle ...Žíly, které čerpají ze strachu, sání nejtmavší ...Chuť mi uvidíš, víc je všechno, co potřebuješ ...Budu obsadit, pomůžu vám umřít ...Běžím tě skrze tebe, teď tě také ovládnu ...Mistr lukostřelců, vytáhl jsem vaše struny ...
Virus věnuje pozornost antivirovým programům a pokouší se je zakázat. Pokaždé, když je infikovaný soubor spuštěn a virus nainstaluje svou kopii rezidentního procesu, hledá antivirové datové soubory v aktuálním adresáři a vymaže je. Názvy těchto souborů vypadají takto: KERNEL.AVC, SIGN.DEF, FIND.DRV, NOD32.000, DSAVIO32.DLL, SCAN.DAT, VIRSCAN.DAT (AVP, DSAV, NOD, SCAN a další antivirové údaje soubory). Virus také vyhledá a ukončí starou verzi skeneru pro přístup na server AVP Monitor.
Známá verze virů obsahuje chyby a nemůže se šířit z instance maker aplikace Word do spustitelného systému Windows. Má také chybu v rutině infekce PE EXE a poškozuje některé spustitelné soubory WinNT.
Virus obsahuje text o autorských právech:
(c) Vecna
Některé rutiny virem (zejména makro) se vztahují k multiplatformnímu viru "Fabi" a některé infikované soubory mohou být detekovány jménem tohoto viru.
Technické údaje
Virus má poměrně velkou velikost pro program napsaný v Assembleru - asi 22 kB a má řadu rutin, které jsou z technického hlediska velmi zajímavé.
Infikované spuštění EXE
Když infikovaný soubor převezme kontrolu, provádějí se polymorfní dešifrovací smyčky. Dešifrují kód vrstev vrstvy po vrstvě (virus je zašifrován několika smyčkami - od dvou do pěti) a předává kontrolu rutině instalace virů. Je třeba poznamenat, že několik bloků virů zůstává stále šifrováno. Virus dešifruje a přistupuje k němu v případě potřeby a pak šifruje zpět. Tyto bloky jsou data infekce MS Word a rutinní stejně jako PE EXE polymorfní motor.
Rutina instalace virů vyhledá potřebné adresy funkcí API systému Windows, které jsou později používány virem. Seznam těchto funkcí je poměrně dlouhý, což je způsobeno seznamem věcí, které virus rozšiřuje. Seznam funkcí, které hledá virus, je níže:
Exportováno podle seznamu funkcí----------- --------------KERNEL32.DLL: GetProcAddress GetModuleHandleA CreateProcessA VytvořitFileA WinExec CloseHandle LoadLibraryA FreeLibrary VytvořitFileMappingA MapViewOfFile UnmapViewOfFile FindFirstFileA FindNextFileA FindClose SetEndOfFile VirtualAlloc VirtualFree GetSystemTime GetWindowsDirectoryA GetSystemDirectoryA GetCurrentDirectoryA SetFileAttributesA SetFileTime ExitProcess GetCurrentProcess WriteProcessMemory WriteFile DeleteFileA Spánek CreateThread GetFileSize SetFilePointerUSER32.DLL: MessageBoxA FindWindowA PostMessageAADVAPI32: RegSetValueExA RegCreateKeyExA RegOpenKeyExA RegQueryValueExA RegCloseKeyMAPI32.DLL: MAPISendMail
Virus získává adresy těchto funkcí standardním virem Windows trik: najde obraz v KERNEL32.DLL v paměti systému Windows, prohledá svou tabulku Export a dostane adresy dvou funkcí: GetModuleHandle a GetProcAddress. Pomocí těchto dvou funkcí je virus schopen snadno nalézt všechny adresy dalších potřebných funkcí. Nejzajímavějším rysem této rutiny je skutečnost, že se jedná o první virus, který zpracovává nejen adresy Win95 / 98 a WinNT při hledání obrazu KERNEL32.DLL, ale také věnuje pozornost adresám Win2000.
Virus pak vyhledá a infikuje aplikaci MS Word, pak vyhledá soubory PE EXE a také je infikuje a potom zavede soubor systémových událostí (soubory a e-maily), které se používají k vyhledání a infikování více souborů, stejně jako k šíření virové kopie internetu v připojených e-mailech.
Infikování MS Word
První rutina infekce, která je aktivována virem, je MS Word ovlivňující rutinu, pokud je nainstalována v systému. Nejdříve zde virus kontroluje přítomnost souboru C: ANCEV.SYS.
Soubor C: ANCEV.SYS ("ANCEV" = "VECNA" napsaný zpět) má zvláštní účel. Tento soubor je vytvořen po dokončení rutiny infekce šablony MS Word. Takže přítomnost tohoto souboru znamená, že byl umístěn MS Word a šablona NORMAL.DOT byla nakažena. V tomto případě virus při odesílání e-mailů odešle šablonu NORMAL.DOT, ale ne infikovaný dropper EXE.
Takže virus kontroluje tento soubor na samém vrcholu rutiny infekce MS Word. Pokud takový virus neexistuje, virus pokračuje v infekci. Pokud tento soubor najde, náhodně v jednom případě po deseti případech infekce virem a v devíti případech deset infekčních rutin. To znamená, že v jednom případě deset MS Word NORMAL.DOT bude opětovně infikován.
Virus pak zakáže ochranu aplikace Word VirusWarning úpravou klíčů registru systému, kde aplikace Word ukládá nastavení:
SOFTWAREMicrosoftOffice8.0WordOptions, EnableMacroVirusProtection
Virus pak získává adresář Word templates také čtením registru systému:
SOFTWAREMicrosoftOffice8.0CommonFileNewLocalTemplates
a odstraní šablony NORMAL.DOT tam a poté vytvoří nový soubor šablony NORMAL.DOT - infikovaný. Infikovaný NORMAL.DOT obsahuje malé makro uvnitř. Toto makro má automatické jméno "AutoExec", bude automaticky spuštěno při příštím spuštění aplikace Word a importuje hlavní makro viru z souboru C: COCAINE.SYS.
Soubor C: COCAINE.SYS je vytvořen virem právě po přepsání šablony NORMAL.DOT. Tento soubor SYS je textový soubor, který obsahuje zdrojový kód programu VBA. Tento zdroj je extrahován virem z jeho kódu, smíchaný s nevyžádanými (polymorfními) pokyny VBA a připojený infikovaným PE EXE kapátkem převedeným na řetězce ASCII.
Takže rutina infekce MS Word dělá svou práci ve dvou krocích. V první řadě virus nahrazuje původní NORMAL.DOT za nový, který obsahuje makro program "AutoExec" (zavaděč), který importuje kompletní kód viru z souboru C: COCAINE.SYS a ukončí přenos portového kódu z souboru PE EXE do šablony MS Word.
Od aplikace Word do EXE
Chcete-li spustit soubor EXE z jeho šablony instance aplikace Word, použije standardní trik makrovírusů. Vytváří dva soubory: první je soubor C: COCAINE.SRC s infikovaným obrazem souboru EXE PEE převedeným na formu ASCII a druhý soubor je DOS dávka s náhodným názvem. Tento dávkový soubor obsahuje sadu instrukcí, které spouštějí nástroj DOS DEBUG, který převede výpis ASCII zpět na binární formulář PE EXE a provede jej.
Takže virus přeskočí na Windows z infikované šablony Word.
Nahrazení souborů PE EXE
Pokud je ovlivněn program MS Word, virus přejde do rutiny infekce souborů EXE. Virus vyhledává soubory PE EXE v současných adresářích a adresářích Windows a infikuje je. Jediné soubory jsou infikovány, které mají přípony souborů EXE nebo .SCR.
Virus pak vyhledává nainstalovaný prohlížeč a mailer a infikuje je také. Virus je vyhledává pomocí klíčů registru systému v úložišti HKEY_LOCAL_MACHINE:
SOFTWAREClasseshtmlfileshellopencommandSOFTWAREClassesmailtoshellopencommand
Virus vyžaduje, aby tyto soubory byly infikovány, aby aktivovaly rutiny infekce Internetu. Když jsou tyto aplikace s internetovým připojením infikovány, kopie virů je aktivní v paměti delší dobu přesně v okamžiku, kdy je uživatel připojen k Internetu. To je pro virus nezbytné k realizaci jeho schopnosti šíření Internetu.
PE EXE Mechanismus infekce
Virus kontroluje několik podmínek před infikováním souboru. První: délka souboru nesmí být dělitelná 101 (je to ochrana proti virům, aby se zabránilo vícenásobné infekci, již infikované soubory PE EXE mají takovou délku). 2. Když virus vyhledá soubory EXE v aktuálním adresáři a adresáři Windows je infikuje, název souboru nemůže obsahovat písmeno nebo číslice "V", zde se virus vyhýbá nejoblíbenějším antivirovým skenerům a infekci "kozí soubory".
Pokud má první část dostatečně velkou velikost (více než 2304 bytů), virus tam píše několik bloků nevyžádaného kódu, které předává řídicí jednotku bloku k hlavním dešifrovacím cyklům viru. Do souborů je zapsáno osm bloků, když je virus infikuje:
+ ------------ +| |Záhlaví PE | --------------- +| ------------ | || + ----- + <- + | || | Junk2 | || || + ----- + - + || Vstupní bod || + ----- + ||| <--------------- +|| Junk1 | |||| + ----- + ---- + || | || + ----- + <- + ||| Junk3 | || + ----- + ---- + || V || . . . || + ----- + || ---- ---- | Junk8 |||| + ----- + || V || ------------ |Kód viru| |+ ------------ +
V tomto případě virus neupravuje adresu vstupního bodu programu, ale potřebuje obnovit všechny přepsané bloky hostitelského souboru před návratovou kontrolou do původního postupu.
Pokud je první část krátká, ovládání přejde přímo na kód viru. V takovém případě modifikuje virus vstupní adresu programu, aby získala kontrolu při provádění infikovaných souborů.
Samotný kód viru je zašifrován několika polymorfními smyčky (od dvou do pěti). Polymorfní motor ve viru je poměrně silný a produkuje asi 2kb polymorfních smyček.
Virus rovněž opravuje sekci Import, aby se dostaly funkce GetProcAddress, GetModuleHandle, CreateProcessA, WinExec a MAPISendMail při spuštění spustitelného souboru infekce.
Poté, co virus vloží svůj šifrovaný kód na konec poslední části souboru a zvětší velikost sekce záplatováním hlavičky PE.
Přijetí událostí
Když jsou dokončeny rutiny přímých infekcí aplikace Word a PE EXE, virus zavírá několik funkcí systému Windows a zůstává v paměti systému Windows jako součást hostitelského programu. Virus zavede dvě funkce pro přístup k souborům WinExec a CreateProcessA, pokud jsou importovány hostitelským programem z KERNEL32.DLL. Když tyto funkce získají kontrolu (program je spuštěn), virus získá název souboru programu, dostane svůj adresář, vyhledává a infikuje soubory PE EXE v tomto adresáři.
Odesílání e-mailů
Kód rezidentního kódu virem také spouští podproces infekce pošty, háčky MAPISendMail, které jsou exportovány z MAPI32.DLL, "connect" a "recv" z WSOCK32.DLL a GetProcAddress z KERNEL32.DLL.
První virus je virus používán k odeslání jeho kopie na internet. Když virus zachycuje tuto událost, vyhledá připojené údaje ve zprávě. Pokud není připojen žádný virus, virus se připojí k infikovanému souboru NORMAL.DOT nebo k infikovanému souboru PE EXE (ten je vytvořen na disku v souboru C: ENIACOC.SYS).
Háčky "GetProcAddress", "connect" a "recv" jsou používány virem k realizaci druhé metody zasílání infikovaných e-mailů. Když přijde zpráva, virus prohledá záhlaví pro pole "mailto:", dostane adresu odtud a uloží ji do vlastní databáze.
Infekční podproces, když přebírá kontrolu, hledá e-mailovou adresu chycenou pro připojení "connect" a "recv", vypočítá CRC a srovnává s databází "již infikovaných adres", která je uložena v souboru BRSCBC.DAT v adresáři systému Windows. Pokud tato adresa ještě nebyla odeslána, virus ji přidá do databáze BRSCBC.DAT, vytvoří zprávu s šablonou NORMAL nebo infikovaným souborem PE EXE a odešle ji pomocí funkce MAPISendMail. Pole předmětu pro zprávu je náhodně vybráno z variant:
Kewl stránka!Zlepšení vaší stránkyVaše stránka r0x0r!Musíte to vidět ...Tajné věci!
Pomocí databáze BRSCBC.DAT se virus vyhýbá duplicitním odesílání, ale na každém infikovaném programu spusťte virus v závislosti na jeho náhodném čítači odstraní tento soubor a vymaže databázi "do not send".
"GetProcAddress", který je také závislý na kopírování virů TSR, slouží pouze k zachycení funkcí "connect" a "recv" WSOCK32.DLL, pokud aplikace tyto standardy neimportuje "ve výchozím nastavení", ale v případě potřeby je aktivuje. Chcete-li to provést, háček viru "GetProcAddress" zachycuje přístup k adresám funkcí "connect" a "recv" WSOCK32.DLL. Pokud se aplikace pokusí získat adresy těchto rutin pro použití připojení k Internetu, vrací viry adresy svých vlastních "connect" a "recv" hookerů a tím zachycuje připojení k Internetu.
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com