Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o parazitický virus, který "zůstává rezidentní" pod Windows a Windows 95, háčí přístup k souborům na disku a infikuje soubory DOS EXE. Jedná se o multipartitní virus, protože ovlivňuje dvě různé platformy – Windows a DOS. Virus neinfikuje ani soubory Windows EXE s přenosným spustitelným (PE) ani novým spustitelným (NE) systémem Windows, ale zůstává v systému Windows jako ovladač VxD k zachycení a infikování souborů DOS EXE. Virus tedy neinfikuje soubory Windows, ale paměť Windows a neinfikuje paměť DOS, ale infikuje soubory DOS EXE.

Když je infikovaný soubor DOS EXE spuštěn, virus pouze klesne jeho soubor VxD (soubor GOLLUM.386), zaregistruje jej v souboru Windows SYSTEM.INI, vrátí se do hostitelského programu a nevykonává žádnou jinou akci. Když systém Windows spouští, načte tento virus VxD, virus převezme kontrolu, háčky V86 přeruší řetěz a pak infikují soubory DOS EXE. Kapátko GOLLUM.386 má délku 6592 bajtů, zatímco infikování přidává 7167 bajtů do souborů DOS EXE.

Infikovaný soubor DOS EXE

Virus v souboru DOS EXE je zašifrován instrukcí NOT (XOR 0FFh). Takže, když je infikovaný soubor spuštěn, virus přebírá kontrolu a dešifruje sám sebe. Smyčka příkazu dešifrování obsahuje hloupý anti-debugging trik a jeden by měl být opatrný při analýze virového kódu.

Virus pak hledá soubor Windows System.ini. Existuje pět jména, která jsou použita virem:

C: WINDOWSSYSTEM.INIC: WINSYSTEM.INIC: WIN31SYSTEM.INIC: WIN311SYSTEM.INIC: WIN95SYSTEM.INI

Pokud takové soubory neexistují, virus nezmizí jeho VxD a vrátí se do hostitelského programu. V opačném případě vytvoří v adresáři Windows soubor GOLLUM.386 (virus VxD) a vloží do souboru System.ini příkaz, který načte tento VxD:

DEVICE = GOLLUM.386

Tento příkaz je vložen do oddílu [386Enh] – virus vyhledá řetězec "[386" a zapíše tento příkaz tam:

SYSTEM.INI před a po infekci… …[386Enh] [386Enh]myš = * vmd DEVICE = GOLLUM.386…myš = * vmd…

Virus nedopadá dvakrát VxD – skenuje soubor System.ini pro řetězec "GOLLU" a ukončí rutinní infekci, pokud bude nalezen tento řetězec.

Virus v souboru VxD

Virus VxD (soubor GOLLUM.386) má formát LE (Linear Executable). Záložka DOS EXE v tomto souboru obsahuje krátkou rutinu, která přepne do režimu standardního textového videa a zobrazí text:

GoLLum!

Část LE tohoto souboru obsahuje instalační rutinu, která získává a ukládá spouštěcí cestu (pro použití v rutině infekce), háčky INT 21h (řetězec přerušení V86), handler INT 21h, rutina infekce a kód DOS EXE. Spouštěč viru INT 21h zachycuje tři hovory: Load and Execute (4B00h), Terminate (4C00h) a Change Directory (3Bh).

Když je soubor spuštěn, virus pouze uloží jeho jméno a vrátí kontrolu. Rutina infekcí získává kontrolu nad ukončením hovoru. Zpočátku virus kontroluje název souboru. Infikuje soubory pouze na jednotce C: a neinfikuje soubory SCAN *. *, F-PR *. *, TB *. * (Programy SCAN, F-PROT, ThunderByte) a soubory s názvem obsahuje písmeno nebo číslice "V". Virus také neinfikuje soubory s délkou menší než 7167 bajtů.

Virus pak otevírá soubor, čte a zkontroluje jeho hlavičku. Virus kontroluje značku EXE (MZ na začátku souboru) a příznaky NewExe, ale selže av některých případech infikuje soubory NewExe jako DOS EXE. To může poškodit soubory. Aby se zabránilo duplicitní infekci, virus porovnává pole CRC (offset 12h v záhlaví EXE) se dvěma bajty – 52h 43h (ASCII "RC").

Virus infikuje soubor standardním způsobem, který je používán většinou virů DOSu – zapíše jeho kód (součásti DOS a VxD) na konec souboru a upravuje záhlaví EXE (počáteční hodnoty vstupního bodu a zásobníku, velikost modulu a identifikátor "RC"). Aby se zabránilo porušení kódu / dat při zápisu části VxD, virus ji zkopíruje z GOLLUM.386 do spouštěcí cesty, která byla uložena při instalaci viru VxD.

Rutina infekce je dokončena a virus zavře soubor, stejně jako obnoví atributy souborů a datum a čas souboru.

Spouštěcí rutiny

Během instalace na 4. června virus odešle systémovou zprávu s textem, který nutí systém Windows zobrazit tento text jako systémovou chybovou zprávu:

GoLLuM ViRuS od Griyo / 29AHluboko pod tmavou vodou žil starý Gollum, malý slizkýstvoření. Nevím, odkud pochází, ani kdo nebo co je. Onbyl Gollum – temná tma, s výjimkou dvou velkých kulatých očív jeho tenké tváři.JRR ToLkieN … HoBBitpokračujte stiskem libovolné klávesy

Při volbě adresáře (volání v adresáři Změnit adresář INT 21h) získá systémový časovač a v závislosti na jeho hodnotě (s pravděpodobností 1/256) vytvoří soubor GOLLUM.EXE v aktuálním adresáři a tam zkopíruje jeho VxD GOLLUM.386. Když je tento soubor EXE spuštěn pod DOSem, zobrazí se v rutině DOS stub:

GoLLum!

Aby se zabránilo detekci kontrolami antivirové integrity, virus odstraní jejich databáze: ANTI-VIR.DAT, CHKLIST.TAV, CHKLIST.MS, AVP.CRC, IVB.NTZ.

Virus také obsahuje řetězce:

GoLLuM ViRuS pro Microsoft Windows od společnosti GriYo / 29AGPTrap_DDB

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Virus
Platfoma	Win16
Popis	Technické údaje Jedná se o parazitický virus, který "zůstává rezidentní" pod Windows a Windows 95, háčí přístup k souborům na disku a infikuje soubory DOS EXE. Jedná se o multipartitní virus, protože ovlivňuje dvě různé platformy – Windows a DOS. Virus neinfikuje ani soubory Windows EXE s přenosným spustitelným (PE) ani novým spustitelným (NE) systémem Windows, ale zůstává v systému Windows jako ovladač VxD k zachycení a infikování souborů DOS EXE. Virus tedy neinfikuje soubory Windows, ale paměť Windows a neinfikuje paměť DOS, ale infikuje soubory DOS EXE. Když je infikovaný soubor DOS EXE spuštěn, virus pouze klesne jeho soubor VxD (soubor GOLLUM.386), zaregistruje jej v souboru Windows SYSTEM.INI, vrátí se do hostitelského programu a nevykonává žádnou jinou akci. Když systém Windows spouští, načte tento virus VxD, virus převezme kontrolu, háčky V86 přeruší řetěz a pak infikují soubory DOS EXE. Kapátko GOLLUM.386 má délku 6592 bajtů, zatímco infikování přidává 7167 bajtů do souborů DOS EXE. Infikovaný soubor DOS EXE Virus v souboru DOS EXE je zašifrován instrukcí NOT (XOR 0FFh). Takže, když je infikovaný soubor spuštěn, virus přebírá kontrolu a dešifruje sám sebe. Smyčka příkazu dešifrování obsahuje hloupý anti-debugging trik a jeden by měl být opatrný při analýze virového kódu. Virus pak hledá soubor Windows System.ini. Existuje pět jména, která jsou použita virem: C: WINDOWSSYSTEM.INIC: WINSYSTEM.INIC: WIN31SYSTEM.INIC: WIN311SYSTEM.INIC: WIN95SYSTEM.INI Pokud takové soubory neexistují, virus nezmizí jeho VxD a vrátí se do hostitelského programu. V opačném případě vytvoří v adresáři Windows soubor GOLLUM.386 (virus VxD) a vloží do souboru System.ini příkaz, který načte tento VxD: DEVICE = GOLLUM.386 Tento příkaz je vložen do oddílu [386Enh] – virus vyhledá řetězec "[386" a zapíše tento příkaz tam: SYSTEM.INI před a po infekci… …[386Enh] [386Enh]myš = * vmd DEVICE = GOLLUM.386…myš = * vmd… Virus nedopadá dvakrát VxD – skenuje soubor System.ini pro řetězec "GOLLU" a ukončí rutinní infekci, pokud bude nalezen tento řetězec. Virus v souboru VxD Virus VxD (soubor GOLLUM.386) má formát LE (Linear Executable). Záložka DOS EXE v tomto souboru obsahuje krátkou rutinu, která přepne do režimu standardního textového videa a zobrazí text: GoLLum! Část LE tohoto souboru obsahuje instalační rutinu, která získává a ukládá spouštěcí cestu (pro použití v rutině infekce), háčky INT 21h (řetězec přerušení V86), handler INT 21h, rutina infekce a kód DOS EXE. Spouštěč viru INT 21h zachycuje tři hovory: Load and Execute (4B00h), Terminate (4C00h) a Change Directory (3Bh). Když je soubor spuštěn, virus pouze uloží jeho jméno a vrátí kontrolu. Rutina infekcí získává kontrolu nad ukončením hovoru. Zpočátku virus kontroluje název souboru. Infikuje soubory pouze na jednotce C: a neinfikuje soubory SCAN . , F-PR . , TB . (Programy SCAN, F-PROT, ThunderByte) a soubory s názvem obsahuje písmeno nebo číslice "V". Virus také neinfikuje soubory s délkou menší než 7167 bajtů. Virus pak otevírá soubor, čte a zkontroluje jeho hlavičku. Virus kontroluje značku EXE (MZ na začátku souboru) a příznaky NewExe, ale selže av některých případech infikuje soubory NewExe jako DOS EXE. To může poškodit soubory. Aby se zabránilo duplicitní infekci, virus porovnává pole CRC (offset 12h v záhlaví EXE) se dvěma bajty – 52h 43h (ASCII "RC"). Virus infikuje soubor standardním způsobem, který je používán většinou virů DOSu – zapíše jeho kód (součásti DOS a VxD) na konec souboru a upravuje záhlaví EXE (počáteční hodnoty vstupního bodu a zásobníku, velikost modulu a identifikátor "RC"). Aby se zabránilo porušení kódu / dat při zápisu části VxD, virus ji zkopíruje z GOLLUM.386 do spouštěcí cesty, která byla uložena při instalaci viru VxD. Rutina infekce je dokončena a virus zavře soubor, stejně jako obnoví atributy souborů a datum a čas souboru. Spouštěcí rutiny Během instalace na 4. června virus odešle systémovou zprávu s textem, který nutí systém Windows zobrazit tento text jako systémovou chybovou zprávu: GoLLuM ViRuS od Griyo / 29AHluboko pod tmavou vodou žil starý Gollum, malý slizkýstvoření. Nevím, odkud pochází, ani kdo nebo co je. Onbyl Gollum – temná tma, s výjimkou dvou velkých kulatých očív jeho tenké tváři.JRR ToLkieN … HoBBitpokračujte stiskem libovolné klávesy Při volbě adresáře (volání v adresáři Změnit adresář INT 21h) získá systémový časovač a v závislosti na jeho hodnotě (s pravděpodobností 1/256) vytvoří soubor GOLLUM.EXE v aktuálním adresáři a tam zkopíruje jeho VxD GOLLUM.386. Když je tento soubor EXE spuštěn pod DOSem, zobrazí se v rutině DOS stub: GoLLum! Aby se zabránilo detekci kontrolami antivirové integrity, virus odstraní jejich databáze: ANTI-VIR.DAT, CHKLIST.TAV, CHKLIST.MS, AVP.CRC, IVB.NTZ. Virus také obsahuje řetězce: GoLLuM ViRuS pro Microsoft Windows od společnosti GriYo / 29AGPTrap_DDB
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Virus.Win16.Gollum

Technické údaje

Infikovaný soubor DOS EXE

Virus v souboru VxD

Spouštěcí rutiny