Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv. Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Třída
Virus
Platfoma
Win16

Hlavní třída: VirWare

Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.

Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.

Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).

Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.

Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.

Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.

Viry lze rozdělit podle metody používané k infikování počítače:

souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.

Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.

Třída: Virus

Viry se replikují na prostředcích místního počítače.

Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:

když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.

Platfoma: Win16

No platform description

Popis

Technické údaje

Tento virus infikuje soubory Windows EXE (NewExe) a odesílá se na internet pomocí e-mailu Eudora - je to první známý virus, který infikuje systém Windows a šíří se přes internet. Chcete-li infikovat soubory, virus zůstává v paměti systému Windows, pak infikuje NE-soubory, které jsou spuštěny. Chcete-li infikovat e-mail Eudora, virus analyzuje interní formát databáze a přidává "infikované" zprávy. Virus se může šířit na internet pouze v případě, že je v počítači nainstalován e-mailový systém Eudora, ale příjemci infikovaných zpráv mohou používat jakýkoli standardní e-mailový systém, a nejen Eudora.

Samozřejmě, že virus není schopen se automaticky spouštět z infikované zprávy. Nemůže infikovat systém, pokud je infikovaná zpráva otevřená a přečtená. K šíření viru musí být infikovaná příloha EXE extrahována a spuštěna. Přesně tak (pro extrahování a spuštění připojeného souboru) text zprávy přesvědčí uživatele.

Virus nebyl nalezen ve volné přírodě, ale jeho uvolnění se může objevit jako skutečné nebezpečí pro globální počítačovou síť, protože šíření je využívá nejpopulárnější OS (Windows) a jeden z nejpopulárnějších e-mailových systémů (Eudora ).

Délka kódu viru a dat je 4766 bajtů. Virus byl pojmenován podle textových řetězců přítomných v těle viru (jsou zašifrovány v infikovaných souborech):

<< - RED TEAM - >> (C) Správce duše.Vyrobeno v Austrálii - 06.97.Takže, Herr Kurtzhals - Je F / Win schopen sledovat The Red Team?

Inferuje EXE

Při infikování souborů NewEXE virus nevytváří nový segment - vypočítá adresu segmentu kódu, přesune zbytek souboru dolů a zapisuje se do jeskyně. Virus zvyšuje velikost segmentu kódu a v důsledku toho zůstává součástí kódu právního programu. Virus také opravuje potřebná pole v záhlaví NE a tabulkách přemístění. Virus pak modifikuje počáteční adresu vstupního bodu nebo adresy patchů systémových rutin v případě KRNL286 / 386.EXE.

Pokud je infikovaný soubor spuštěn v prostředí, které není infikováno, virus převezme kontrolu a hledá modul Win16 Kernel (KRNL286.EXE nebo KRNL386.EXE). Když je tento soubor umístěn, virus se otevírá a infikuje. Virus nezmění adresu vstupního bodu, místo toho změní adresy rutin WINEXEC nebo INITTASK. V případě Windows 3.xx virus nastaví novou adresu rutiny WINEXEC, v případě Windows95 / NT virus dělá totéž s rutinou INITTASK (protože Windows95 / NT nevolá WINEXEC).

Chcete-li oddělit moduly KRNL? 86.EXE (Windows 3.xx nebo Windows95 / NT), virus používá název, pokud je exportována funkce CALLPROC32W, představuje pouze 32bitové Windows95 / NT.

Virus pak vrátí kontrolu do hostitelského programu a neprovádí žádné další akce. Jako výsledek poprvé popravený virus nezanechává žádný kód v systémové paměti - infikuje pouze modul Windows Kernel16.

Přechod na paměť

Když je systém Windows načten infikovaným jádrem, virus zůstane v systémové paměti jako součást jádra - není třeba udělat zvláštní akci, protože kód viru je umístěn ve stejném kódu jako původní program jádra. Virus také neprovádí žádnou akci, která by mohla hákovit události systému, protože již byly zavěšeny, zatímco infekce - adresa WINEXEC nebo INITTASK již odkazuje na obsluhu viru.

V systému Windows 3.xx virus zavěsí WINEXEC, takže infikuje soubory, které jsou spuštěny. Virus to dělá docela chytrým způsobem - okamžitě předá kontrolu původnímu obslužnému programu WINEXEC a pak infikuje soubor na pozadí, tj. Neexistuje žádné zpoždění při spuštění aplikace v infikovaném prostředí. To je pro virus velmi důležité, protože obvykle je instalován systém Windows 3.xx na starých pomalých počítačích a zpoždění při spuštění může varovat uživatele.

V systémech Windows95 / NT virus zavěsí INITTASK, takže zachycuje kontrolu, když se programy registrují v systému. Virus pak pomocí funkce GetExePtr získává modulové rukojeti pro všechny NE-aplikace, které jsou aktivní a infikují je.

Infikování e-mailu

Při infikování souboru s pravděpodobností 1/8 (v závislosti na klíči, který je použit pro šifrování textových řetězců) virus modifikuje jeho kód tak, aby tento infikovaný soubor aktivoval rutinu, která zachycuje infikované e-mailové zprávy do schránky Eudora. Pokud je takový soubor spuštěn v adresáři, kde jsou umístěny databáze Eudora, virus otevře datové soubory Eudora: NNDBASE.TOC, OUT.TOC, OUT.MBX. První soubor ("Databáze názvů Nicků") je používán virem pro získání jmen příjemců, kterým bude virus zasílat infikovanou zprávu. Infikovaná zpráva je umístěna do OUT.MBX (databáze Outbox) a potřebné odkazy jsou umístěny do souboru OUT.TOC.

Samotná zpráva má předmět "Red Team", obsahuje text a připojený soubor EXE. Text vypadá následovně:

-------------------------------------------------- --------------------Hiya!Jen jsem si myslela, že vás budu varovat před destruktivním novým virem elektronické pošty.Zde je několik informací:> Virus "Red Team" je složitý nový počítačový virus, který se šíří přes> operační systém Microsoft Windows a Internet E-Mail. Ačkoli> není to první virus, který se šíří prostřednictvím e-mailu (to bylo "dobré časy"),> červený týmový virus je bez rozdílu v ničivých schopnostech.> Navíc je virus extrémně častý - už to bylo> hlášeny ve velké části západní Evropy, USA, Ruska, Austrálie a USA> Japonsko. Stručně řečeno, všude.>> My v QUEST jsme strávili několik týdnů s analýzou tohoto viru a jsme hrdí> oznamujeme, že máme konečně lék! Program, nazvaný "K-RTEAM"> (Kill Red Team), lze spustit v libovolném prostředí Microsoft Windows a> bude spolehlivě detekovat (a případně odstranit) červený týmový virus z> systémové vyrovnávací paměti.>> -> Julia Blumin> QUALCOMM Enterprise Software Technologies> World Wide Web: http://www.qualcomm.comDůvod, proč jsem si myslel, že bych tě měl varovat, je, že jsme nedávno uteklis touto šelem. Naštěstí se nám podařilo získat kopii vynikajícíchProgram "K-RTEAM" před tím, než začalo zničení. Jen pro případměli byste trpět stejnou neštěstí, do které jsem tento program zahrnulty taky.Sbohem!PS Ujistěte se, že varujete všechny své přátele touto novou hrozbou!-------------------------------------------------- --------------------
Tento text v těle viru je komprimován, takže virus jej dekomprimuje před uložením do schránky Eudora. Přiložený soubor EXE má NE hlavičku a je pojmenován jako K-RTEAM.EXE ("Kill Red Team"), má délku 6351 bajtů. Jedná se o infikovaný program "do-nothing" (virus ho vytvoří na jednotce C: C: K-RTEAM.EXE), která šíří virus pouze v počítači. V záhlaví a konci tohoto souboru jsou textové řetězce:
K-RTEAM - Red Team Anti-VirusK-RTEAMČervený týmový virus byl nalezen!Odstranit virus?Virus Removed!Virus nelze odstranit!
Virus neposílá dvě zprávy ze stejného infikovaného počítače. Chcete-li, že virus vytvoří soubor RTBASE.TOC při odesílání infikovaných zpráv. Příště bude virus vyhledávat tento soubor a ukončí rutinu infekce elektronickou poštou, pokud se tento soubor zobrazí v adresáři.

V laboratoři

Virus se replikuje pod Windows 3.xx a během experimentů v laboratoři neměl žádné vedlejší účinky - všechny soubory byly nakaženy správně, programy nebyly poškozeny a systém Windows nezobrazoval žádné varovné / chybové zprávy.

Virus také uložil kapátko do schránky Eudora bez problémů. Nakažené zprávy byly poté odeslány přes internet a správně přijaty.

V systému Windows95 / NT má virus problém - nemůže infikovat KRNL386.EXE a jako výsledek nemůže nainstalovat paměť rezidentní. Chyba je poměrně hloupá - virus si vyhrazuje slovo (DW) pro proměnnou "NE Header Offset", ale používá ji jako DoubleWord (DD). Druhé slovo tohoto DoubleWord je vlajka verze Windows: 0, pokud Windows3.xx, FFFFh v případě Windows95 / NT. Takže pod Windows95 / NT se virus z této proměnné špatně hodí.

Navzdory tomu byly soubory infikované pod Windows 3.xx bez problémů v operačním systému Windows 95 / NT a mohou infikovat databázi Eudora stejně jako Windows 3.xx. Kromě toho může být tato hloupá chyba snadno opravena a autorská verze viru by mohla být vydána verze kompatibilní se systémem Windows95.

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com

Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!
Kaspersky Next
Let’s go Next: redefine your business’s cybersecurity
Zjistěte více
Kaspersky Premium
Zjistěte více
Confirm changes?
Your message has been sent successfully.