Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Virus.Multi.Navrhar

Třída Virus
Platfoma Multi
Popis

Technické údaje

Jedná se o multipartitní virus, který infikuje dokumenty MS Word i ovladače Windows95 VxD. Virus používá několik kroků ve své infekční cestě – od infikovaného dokumentu nebo VxD dělá tři kroky k infikování souborů ve stejném formátu jako původní soubor hostitele: Dokument Word -> Výpis PE EXE -> VxD ovladač -> Dokument Word a již brzy.

Když je infikovaný soubor otevřen aplikací Word, virus vloží jeho část do disků a provede ji. Tato kapátka vyhledává ovladače Windows 95 VxD a infikuje je. Příště, když systém Windows načte ovladače, virus "zůstane rezidentní", zavěsí systémová volání a infikuje otevřené dokumenty.


+ ——— + + ——— + + ——— + + ——— +
Infikováno -> | PE EXE -> | + ——— + -> | + ——— + ->
dokument | | kapátko | || VxD | || + ——— + ->
| | | | || ovladače | ||| Dokumenty. | ->
| | | | || | ||| |
| | | | || | ||| |
+ ——— + + ——— + + | | + || |
+ ——— + + | |
+ ——— +

"Overlay" způsob infekce

V obou VxD souborech a v dokumentech aplikace Virus používá velmi chytrý způsob ukládání dat a kódu. V obou typech souborů virus vkládá do skutečného dokumentu / ovladače pouze virový nakladač – malý program, který načte a spustí hlavní kód viru. V infikovaných dokumentech programu Word je tento načítář krátké makro napsané v aplikaci Word Basic (stejně jako všechny ostatní makro viry aplikace Word), ve formátu VxD je to malý 32bitový program.

Hlavní virusový kód je umístěn mimo skutečné tělo dokumentu Word a VxD – zatímco infikování viru jen připojí tento hlavní kód na konec souboru a nevytváří žádné potřebné opravy k "propojení" s daty / kódem hostitelského souboru. Vypadá to jako překryvná data / kód – tento kód není spojen s strukturou hostitelského souboru žádným způsobem a neexistují žádné odkazy na tento překryv z kódu a dat v hlavním souboru (s výjimkou virového načítání).


Infikovaný systém Windows95 VxD: infikovaný dokument aplikace Word:
+ ———— + + ———— +
| Původní |. | | Původní |. |
| Kód VxD | | dokumentů |
+ ———— + | data
Virus loader | <- 32bitové + ———— +
+ ———— + program | Virus loader | <- makro program
| Zbytek |. | + ———— + <- konec dat právního dokumentu
| Kód VxD | Další údaje <- hlavní kód / data viru
a data | | |
| | + ———— + <- konec souboru disku
| |
+ ———— + <- konec legálního kódu VxD
Další údaje <- hlavní kód / data viru
| |
+ ———— + <- konec souboru disku
Když systém Windows načte takový VxD, nevztahuje se na další údaje / kód a nevkládá je do paměti. Když aplikace Word otevírá infikovaný dokument, nevkládá tato další data do paměti, navíc tyto údaje při uzavírání dokumentu někdy přerušuje. Jediný způsob, jak má virus přístup k takovému překryvu, je otevřít infikovaný dokument / VxD jako diskový soubor, hledat překryv a číst jej a virus to udělá.

Zatímco infikuje různé objekty, vírus zvětšuje jejich délky různými čísly z důvodu různých struktur "dat překrývajících". Délka dokumentů se zvýší o 17245 bajtů, ovladače VxD mají na konci po infekci 12288 bajtů, délka kapky viru RUNME.EXE je 16208 bajtů.

Otevření nakaženého dokumentu

Nejrozšířenější způsob, jak v současnosti dostat infekci, není přijímání infikovaných programů, ale infikovaných dokumentů. Takže se 100: 1 uživatel dostane a otevře infikovaný dokument, ne infikovaný VxD (někdo vymění VxDs, kromě programátorů?).

V infikovaných dokumentech je makroloader viru nazvaný AutoOpen – toto je automatické makro a je automaticky spuštěn aplikací Word při otevření dokumentu. Toto makro přiděluje blok paměti (funkce HeapAlloc Word), otevírá soubor hostitele (dokument), usiluje o překryvné údaje (hlavní kód viru), přečte jej a přejde do nově vytvořeného souboru C: RUNME.EXE (podle CreateFileA, SetFilePointer, ReadFile, WriteFile, funkce CloseHandle).

Poté virové makro provede soubor C: RUNME.EXE (podle instrukce Word "Shell") a C: RUNME.EXE virus dropper přebírá kontrolu, lokalizuje a infikuje ovladače systému Windows.

Infikování ovladačů VxD

Za prvé, když je spuštěn program RUNME.EXE, kód virů zkontroluje verzi systému Windows a okamžitě skončí, pokud je verze systému Windows verze 3.xx nebo méně (procházím, je tato kontrola skutečně nutná – RUNME.EXE je 32bitová PE -program, takže ji není možné spustit pod starými Windowses).

Virus pak vyhledá adresář Windows, přeskočí do podadresáře SYSTEM, vyhledá a infikuje soubor souborů VxD, pokud jsou tam:


EISA.VXD, FILESEC.VXD, ISAPNP.VXD, LOGGER.VXD, LPT.VXD, LPTENUM.VXD,
MSMOUSE.VXD, MSSP.VXD, NWSERVER.VXD, NWSP.VXD, PARALINK.VXD, PCI.VXD,
SERENUM.VXD, SERIAL.VXD, SPAP.VXD, SPLITTER.VXD, UNIMODEM.VXD, VFD.VXD,
VGATEWAY.VXD, WSIPX.VXD, WSOCK.VXD
Během infikování souborů VxD virus analyzuje a modifikuje jejich vnitřní struktury, zapíše jejich kód načítání do středu souboru a připojí hlavní kód jako další data do konce souboru.

Ovladače Windows VxD mají interní formát LE EXE (Linear Executable). Tento formát je poměrně složitý, protože je pochopitelný – je mnohem složitější než formát souboru DOS EXE, který je složitější než formát souboru NewEXE ve formátu Windows. Vypadá podobně jako formát Portable Executable (PE), ale zcela odlišný.

Bylo by zapotřebí spousty stránek, které by popisovaly všechny podrobnosti, které virus provádí při infikování VxD. V krátkosti: čte LE tabulku vstupů a tabulky objektů, hledá sekci kódu VxD a opraví ji. Soubory LE mají strukturu oddílu (stránek). Pokud kód / datum nezahrnuje část, je část pouze vyplněna nulovými bajty až do jejího limitu. Virus využívá tuto funkci a jen zvyšuje délku skutečného kódu v sekci a připojuje tam svůj kód nakládače (214 bajtů), pokud je v sekci dostatek volného místa.

Aby se zabránilo duplicitní infekci, virus používá pouze datum a časové razítko souboru – nastavuje nové datum a čas pro soubory, zatímco je infikuje a kontroluje před infekcí. Toto datum / čas je 4. ledna 1997, 4:28. Pokud někdo změní tuto známku u infikovaných souborů VxD, virus je bude dvakrát a víc infikovat.

Virus nevyhledává jiné soubory VxD, než jsou uvedeny výše, ani když je aktivní dropper RUNME.EXE, ani kdykoli po něm. Virus také po infikování VxD neuloží RUNME.EXE, takže uživatel je schopen spustit tento soubor ručně, pokud se mu toto jméno líbí.

Infikování dokumentů

Když systém Windows 95 načítá infikované VxD, virův nakládač (podobně jako nakladač v infikovaných dokumentech) přiděluje blok paměti, usiluje o konec hostitelského souboru, aby si přečetl "překryv", přečetl si ho jako data a pak se spouští jako program (vivat ochrana jádra systému Windows95!). Instalátor virů přebírá kontrolu, zavěsí IFS API a zachycuje volání OpenFile.

Při otevření libovolného souboru virus porovná příponu názvu souboru s ".DOC", přečte záhlaví souboru a zkontroluje jeho otisk razítka OLE2, poté analyzuje interní formáty OLE2, vytvoří na konci dokumentu nové makro s názvem AutoOpen, zapíše makroloader tam a připojuje jako "překrýt" svůj hlavní kód. Virus také převede dokumenty společnosti Microsoft do formátu šablony – to samé jako běžné viry maker aplikace Word.

Virus neinfikuje dokumenty s délkou souboru, která není zarovnána se sektorem (po infikování dokumentů zůstává nesrovnána) – tato skutečnost používá virus k oddělení infikovaných a neinfikovaných dokumentů. Virus také neinfikuje dokumenty o délce nad 800 kB – rutina virové infekce prostě není schopna analyzovat formáty velkých dokumentů (v takových dokumentech se objeví další pole). Virus kontroluje vnitřní dokumentaci v dokumentech a infikuje je pouze v případě, že má formát PanEuro Word 6/7.

MS Word by měl při ukončení uložení souboru ukončit vícenásobný překryvný kód na konci dokumentu (ale zanechat makro AutoOpen) a v mých experimentech s aplikací Word 7.0 to udělal. Navzdory tomu byly dokumenty s rozšířením názvu souboru DOC ihned znovu infikovány virem. V případě rozšíření, které nepodporuje DOC, dokumenty zůstávají polooinfikované – mají makro AutoOpen virů, ale nemají údaje o překrytí virů. Výsledkem toho je, že virus se po otevření těchto dokumentů nedokáže šířit sám.

Algoritmus virové infekce není bezchybný. V případě, že šablona již obsahuje makro (y), virus poškozuje dokumentaci vnitřní struktury a tyto makro (y) zůstanou neviditelné. Za druhé, není možné odstranit makro viru AutoOpen z infikovaných dokumentů pomocí prostředí aplikace Word (Nástroje / Makro / Odstranit nebo Organizátor) – Word to nezdaří a selže se standardní chybovou zprávou systému Windows:


Tento program provedl nelegální provoz
a bude vypnut.

Poslední poznámky

Kvůli způsobu infekce ovladačů VxD virus není schopen infikovat systém WindowsNT, ale při experimentování s virem v systému Windows 95 nebyly zjištěny žádné problémy (s výjimkou problémů se šablonami Word, které byly popsány výše). Virus se v žádném případě nezobrazuje a nespustí žádné systémové chybové zprávy při spuštění pod Windows95.

Zdá se mi, že rutina infekce VxD má chybu (virus nesprávně analyzuje LE Object Table) a virus poškodí "nestandardní" ovladače VxD, ale všechny soubory VxD z viru jsou "kompatibilní s viry" a systém Windows 95 s infikovanými VxD (někdy dvakrát infikován) způsobuje žádné problémy. Možná proto kvůli této možné chybě autor virus neobsahoval výzvu k infekci VxD při jejich otevření, ale pouze dokumenty Word.

Virus má několik textových řetězců, z nichž některé se zdají být stopy verze viru:


Nelze najít fixupp DDB
nemůže tento soubor infikovat
neplatný soubor vxd
úspěšně infikovaní
infikování souboru
Jiné řetězce obsahují názvy funkcí systému Windows, které se používají při infikování ovladačů VxD:

Kernel32.dll VytvořitFileA ExitProcess GetFileSize GetFileTime
Získejte GetVersion GetWindowsDirectoryA HeapAlloc ReadFile
SetFilePointer SetFileTime Zápisník lstrcatA lstrcpyA CloseHandle
Zbytek viditelných textových řetězců jsou komentáře autora virů v angličtině a v nějakém poškozeném hackerském stylu:

Virus HZDS (první světový přímý inzulátor VxD a druhý infektor Word 6/7)
(c) Navrhar (DESIGNeR v angličtině), Slovensko, 21. října-97
Diz virus haz byl napsán v Banské Bystrici na Slovensku.
W l ¢ 0m 0h HZD $ v ¡sg ¡gZ!
GZ: Vyv0j,, sy & pount; m & Ugly & pount; s, MG & pount ;, ¡gh m 0k.
$ p ¢ ¡l GZ: Æ h0 0� Æ ¢ hy.6 93 (¡w 0 1s, h h0 0
l0 gs 0 y0 – �0 ly)
M y � ¢ ks g0 s 0 0: HZD $, Vl 0 M. (D¡ ¢ 0)
$ p0 s0 y * -Z1 (hs VX-æ¡ v)
Překlad pro poslední blok textu vypadá následovně:

Vítejte v oblasti pozdravů HZDS virus!
Greetz: Vyvojar, Ender, Nasty Lamer & Ugly Luser, MGL,
Noční můra Joker,
Zvláštní pozdravy: Autor anarchie.6093 (chtěl jsem být první, ale čest
patří vám – bohužel)
Mnoho šuků jde do: HZDS, V1ado M. (diktátor)
Sponzorovaný * -Zine (nejlépe VX-zine vůbec)


Odkaz na originál