Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Virus
Viry se replikují na prostředcích místního počítače.Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:
když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.
Platfoma: Multi
No platform descriptionPopis
Technické údaje
Jedná se o multipartitní virus, který infikuje dokumenty MS Word i ovladače Windows95 VxD. Virus používá několik kroků ve své infekční cestě - od infikovaného dokumentu nebo VxD dělá tři kroky k infikování souborů ve stejném formátu jako původní soubor hostitele: Dokument Word -> Výpis PE EXE -> VxD ovladač -> Dokument Word a již brzy.
Když je infikovaný soubor otevřen aplikací Word, virus vloží jeho část do disků a provede ji. Tato kapátka vyhledává ovladače Windows 95 VxD a infikuje je. Příště, když systém Windows načte ovladače, virus "zůstane rezidentní", zavěsí systémová volání a infikuje otevřené dokumenty.
+ --------- + + --------- + + --------- + + --------- +Infikováno -> | PE EXE -> | + --------- + -> | + --------- + ->dokument | | kapátko | || VxD | || + --------- + ->| | | | || ovladače | ||| Dokumenty. | ->| | | | || | ||| || | | | || | ||| |+ --------- + + --------- + + | | + || |+ --------- + + | |+ --------- +
"Overlay" způsob infekce
V obou VxD souborech a v dokumentech aplikace Virus používá velmi chytrý způsob ukládání dat a kódu. V obou typech souborů virus vkládá do skutečného dokumentu / ovladače pouze virový nakladač - malý program, který načte a spustí hlavní kód viru. V infikovaných dokumentech programu Word je tento načítář krátké makro napsané v aplikaci Word Basic (stejně jako všechny ostatní makro viry aplikace Word), ve formátu VxD je to malý 32bitový program.Hlavní virusový kód je umístěn mimo skutečné tělo dokumentu Word a VxD - zatímco infikování viru jen připojí tento hlavní kód na konec souboru a nevytváří žádné potřebné opravy k "propojení" s daty / kódem hostitelského souboru. Vypadá to jako překryvná data / kód - tento kód není spojen s strukturou hostitelského souboru žádným způsobem a neexistují žádné odkazy na tento překryv z kódu a dat v hlavním souboru (s výjimkou virového načítání).
Infikovaný systém Windows95 VxD: infikovaný dokument aplikace Word:+ ------------ + + ------------ +| Původní |. | | Původní |. || Kód VxD | | dokumentů |+ ------------ + | dataVirus loader | <- 32bitové + ------------ ++ ------------ + program | Virus loader | <- makro program| Zbytek |. | + ------------ + <- konec dat právního dokumentu| Kód VxD | Další údaje <- hlavní kód / data virua data | | || | + ------------ + <- konec souboru disku| |+ ------------ + <- konec legálního kódu VxDDalší údaje <- hlavní kód / data viru| |+ ------------ + <- konec souboru diskuKdyž systém Windows načte takový VxD, nevztahuje se na další údaje / kód a nevkládá je do paměti. Když aplikace Word otevírá infikovaný dokument, nevkládá tato další data do paměti, navíc tyto údaje při uzavírání dokumentu někdy přerušuje. Jediný způsob, jak má virus přístup k takovému překryvu, je otevřít infikovaný dokument / VxD jako diskový soubor, hledat překryv a číst jej a virus to udělá.
Zatímco infikuje různé objekty, vírus zvětšuje jejich délky různými čísly z důvodu různých struktur "dat překrývajících". Délka dokumentů se zvýší o 17245 bajtů, ovladače VxD mají na konci po infekci 12288 bajtů, délka kapky viru RUNME.EXE je 16208 bajtů.
Otevření nakaženého dokumentu
Nejrozšířenější způsob, jak v současnosti dostat infekci, není přijímání infikovaných programů, ale infikovaných dokumentů. Takže se 100: 1 uživatel dostane a otevře infikovaný dokument, ne infikovaný VxD (někdo vymění VxDs, kromě programátorů?).V infikovaných dokumentech je makroloader viru nazvaný AutoOpen - toto je automatické makro a je automaticky spuštěn aplikací Word při otevření dokumentu. Toto makro přiděluje blok paměti (funkce HeapAlloc Word), otevírá soubor hostitele (dokument), usiluje o překryvné údaje (hlavní kód viru), přečte jej a přejde do nově vytvořeného souboru C: RUNME.EXE (podle CreateFileA, SetFilePointer, ReadFile, WriteFile, funkce CloseHandle).
Poté virové makro provede soubor C: RUNME.EXE (podle instrukce Word "Shell") a C: RUNME.EXE virus dropper přebírá kontrolu, lokalizuje a infikuje ovladače systému Windows.
Infikování ovladačů VxD
Za prvé, když je spuštěn program RUNME.EXE, kód virů zkontroluje verzi systému Windows a okamžitě skončí, pokud je verze systému Windows verze 3.xx nebo méně (procházím, je tato kontrola skutečně nutná - RUNME.EXE je 32bitová PE -program, takže ji není možné spustit pod starými Windowses).Virus pak vyhledá adresář Windows, přeskočí do podadresáře SYSTEM, vyhledá a infikuje soubor souborů VxD, pokud jsou tam:
EISA.VXD, FILESEC.VXD, ISAPNP.VXD, LOGGER.VXD, LPT.VXD, LPTENUM.VXD,MSMOUSE.VXD, MSSP.VXD, NWSERVER.VXD, NWSP.VXD, PARALINK.VXD, PCI.VXD,SERENUM.VXD, SERIAL.VXD, SPAP.VXD, SPLITTER.VXD, UNIMODEM.VXD, VFD.VXD,VGATEWAY.VXD, WSIPX.VXD, WSOCK.VXDBěhem infikování souborů VxD virus analyzuje a modifikuje jejich vnitřní struktury, zapíše jejich kód načítání do středu souboru a připojí hlavní kód jako další data do konce souboru.
Ovladače Windows VxD mají interní formát LE EXE (Linear Executable). Tento formát je poměrně složitý, protože je pochopitelný - je mnohem složitější než formát souboru DOS EXE, který je složitější než formát souboru NewEXE ve formátu Windows. Vypadá podobně jako formát Portable Executable (PE), ale zcela odlišný.
Bylo by zapotřebí spousty stránek, které by popisovaly všechny podrobnosti, které virus provádí při infikování VxD. V krátkosti: čte LE tabulku vstupů a tabulky objektů, hledá sekci kódu VxD a opraví ji. Soubory LE mají strukturu oddílu (stránek). Pokud kód / datum nezahrnuje část, je část pouze vyplněna nulovými bajty až do jejího limitu. Virus využívá tuto funkci a jen zvyšuje délku skutečného kódu v sekci a připojuje tam svůj kód nakládače (214 bajtů), pokud je v sekci dostatek volného místa.
Aby se zabránilo duplicitní infekci, virus používá pouze datum a časové razítko souboru - nastavuje nové datum a čas pro soubory, zatímco je infikuje a kontroluje před infekcí. Toto datum / čas je 4. ledna 1997, 4:28. Pokud někdo změní tuto známku u infikovaných souborů VxD, virus je bude dvakrát a víc infikovat.
Virus nevyhledává jiné soubory VxD, než jsou uvedeny výše, ani když je aktivní dropper RUNME.EXE, ani kdykoli po něm. Virus také po infikování VxD neuloží RUNME.EXE, takže uživatel je schopen spustit tento soubor ručně, pokud se mu toto jméno líbí.
Infikování dokumentů
Když systém Windows 95 načítá infikované VxD, virův nakládač (podobně jako nakladač v infikovaných dokumentech) přiděluje blok paměti, usiluje o konec hostitelského souboru, aby si přečetl "překryv", přečetl si ho jako data a pak se spouští jako program (vivat ochrana jádra systému Windows95!). Instalátor virů přebírá kontrolu, zavěsí IFS API a zachycuje volání OpenFile.Při otevření libovolného souboru virus porovná příponu názvu souboru s ".DOC", přečte záhlaví souboru a zkontroluje jeho otisk razítka OLE2, poté analyzuje interní formáty OLE2, vytvoří na konci dokumentu nové makro s názvem AutoOpen, zapíše makroloader tam a připojuje jako "překrýt" svůj hlavní kód. Virus také převede dokumenty společnosti Microsoft do formátu šablony - to samé jako běžné viry maker aplikace Word.
Virus neinfikuje dokumenty s délkou souboru, která není zarovnána se sektorem (po infikování dokumentů zůstává nesrovnána) - tato skutečnost používá virus k oddělení infikovaných a neinfikovaných dokumentů. Virus také neinfikuje dokumenty o délce nad 800 kB - rutina virové infekce prostě není schopna analyzovat formáty velkých dokumentů (v takových dokumentech se objeví další pole). Virus kontroluje vnitřní dokumentaci v dokumentech a infikuje je pouze v případě, že má formát PanEuro Word 6/7.
MS Word by měl při ukončení uložení souboru ukončit vícenásobný překryvný kód na konci dokumentu (ale zanechat makro AutoOpen) a v mých experimentech s aplikací Word 7.0 to udělal. Navzdory tomu byly dokumenty s rozšířením názvu souboru DOC ihned znovu infikovány virem. V případě rozšíření, které nepodporuje DOC, dokumenty zůstávají polooinfikované - mají makro AutoOpen virů, ale nemají údaje o překrytí virů. Výsledkem toho je, že virus se po otevření těchto dokumentů nedokáže šířit sám.
Algoritmus virové infekce není bezchybný. V případě, že šablona již obsahuje makro (y), virus poškozuje dokumentaci vnitřní struktury a tyto makro (y) zůstanou neviditelné. Za druhé, není možné odstranit makro viru AutoOpen z infikovaných dokumentů pomocí prostředí aplikace Word (Nástroje / Makro / Odstranit nebo Organizátor) - Word to nezdaří a selže se standardní chybovou zprávou systému Windows:
Tento program provedl nelegální provoza bude vypnut.
Poslední poznámky
Kvůli způsobu infekce ovladačů VxD virus není schopen infikovat systém WindowsNT, ale při experimentování s virem v systému Windows 95 nebyly zjištěny žádné problémy (s výjimkou problémů se šablonami Word, které byly popsány výše). Virus se v žádném případě nezobrazuje a nespustí žádné systémové chybové zprávy při spuštění pod Windows95.Zdá se mi, že rutina infekce VxD má chybu (virus nesprávně analyzuje LE Object Table) a virus poškodí "nestandardní" ovladače VxD, ale všechny soubory VxD z viru jsou "kompatibilní s viry" a systém Windows 95 s infikovanými VxD (někdy dvakrát infikován) způsobuje žádné problémy. Možná proto kvůli této možné chybě autor virus neobsahoval výzvu k infekci VxD při jejich otevření, ale pouze dokumenty Word.
Virus má několik textových řetězců, z nichž některé se zdají být stopy verze viru:
Nelze najít fixupp DDBnemůže tento soubor infikovatneplatný soubor vxdúspěšně infikovaníinfikování souboruJiné řetězce obsahují názvy funkcí systému Windows, které se používají při infikování ovladačů VxD:
Kernel32.dll VytvořitFileA ExitProcess GetFileSize GetFileTimeZískejte GetVersion GetWindowsDirectoryA HeapAlloc ReadFileSetFilePointer SetFileTime Zápisník lstrcatA lstrcpyA CloseHandleZbytek viditelných textových řetězců jsou komentáře autora virů v angličtině a v nějakém poškozeném hackerském stylu:
Virus HZDS (první světový přímý inzulátor VxD a druhý infektor Word 6/7)(c) Navrhar (DESIGNeR v angličtině), Slovensko, 21. října-97Diz virus haz byl napsán v Banské Bystrici na Slovensku.W l ¢ 0m 0h HZD $ v ¡sg ¡gZ!GZ: Vyv0j,, sy & pount; m & Ugly & pount; s, MG & pount ;, ¡gh m 0k.$ p ¢ ¡l GZ: Æ h0 0� Æ ¢ hy.6 93 (¡w 0 1s, h h0 0l0 gs 0 y0 - �0 ly)M y � ¢ ks g0 s 0 0: HZD $, Vl 0 M. (D¡ ¢ 0)$ p0 s0 y * -Z1 (hs VX-æ¡ v)Překlad pro poslední blok textu vypadá následovně:
Vítejte v oblasti pozdravů HZDS virus!Greetz: Vyvojar, Ender, Nasty Lamer & Ugly Luser, MGL,Noční můra Joker,Zvláštní pozdravy: Autor anarchie.6093 (chtěl jsem být první, ale čestpatří vám - bohužel)Mnoho šuků jde do: HZDS, V1ado M. (diktátor)Sponzorovaný * -Zine (nejlépe VX-zine vůbec)
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com